สรุปข่าว
- Elastic Security Labs เปิดเผยแคมเปญโจมตีชื่อ REF6598 ที่ใช้แอปจดบันทึก Obsidian เป็นช่องทางแพร่มัลแวร์ควบคุมเครื่องระยะไกล PHANTOMPULSE RAT กำหนดเป้าหมายผู้ใช้ในวงการคริปโตและการเงิน
- ผู้โจมตีปลอมตัวเป็นบริษัทร่วมลงทุนบน LinkedIn และ Telegram สร้างความไว้วางใจก่อนหลอกให้เหยื่อเปิดคลังข้อมูล Obsidian บนคลาวด์ของผู้โจมตี จากนั้นปลั๊กอินชุมชนที่เป็นอันตรายจะติดตั้งมัลแวร์โดยไม่รู้ตัว
- มัลแวร์รองรับทั้งระบบปฏิบัติการ Windows และ macOS นักลงทุนคริปโตควรระมัดระวังการเปิดคลัง Obsidian จากแหล่งที่ไม่รู้จัก และไม่ควรเปิดใช้งานปลั๊กอินชุมชนจากคนแปลกหน้า
แนวโน้มผลกระทบต่อราคา Neutral
ข่าวนี้ไม่ส่งผลกระทบโดยตรงต่อราคาคริปโต แต่เป็นสัญญาณเตือนด้านความปลอดภัยสำหรับนักลงทุนและเทรดเดอร์ที่ใช้เครื่องมือจดบันทึกในการทำงาน การที่มิจฉาชีพพัฒนาเทคนิคซับซ้อนขึ้นเรื่อยๆ อาจสร้างความกังวลให้กับผู้ใช้ในวงกว้างได้
เมื่อวันที่ 13 เมษายน 2569 ที่ผ่านมา ทีมวิจัย Elastic Security Labs ได้เปิดเผยรายงานชื่อ “Phantom in the vault: Obsidian abused to deliver PhantomPulse RAT” โดยติดตามแคมเปญโจมตีนี้ในชื่อ REF6598 ตามรายงานจาก Cointelegraph นักลงทุนและบุคลากรในวงการคริปโตรวมถึงการเงินกำลังตกเป็นเป้าหมายของกลโกงวิศวกรรมสังคมแบบหลายขั้นตอนที่ซับซ้อน โดยผู้โจมตีใช้คุณสมบัติปลั๊กอินชุมชน (community plugin) ของแอปจดบันทึกยอดนิยมอย่าง Obsidian เพื่อแพร่กระจายมัลแวร์ควบคุมอุปกรณ์จากระยะไกลที่ตั้งชื่อว่า PHANTOMPULSE RAT โดยมัลแวร์นี้สามารถเข้าควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ทั้งบนระบบปฏิบัติการ Windows และ macOS
กลโกงหลายขั้นตอนผ่าน LinkedIn และ Telegram
เทคนิคที่ผู้โจมตีใช้นั้นซับซ้อนและใช้เวลาสร้างความสัมพันธ์กับเหยื่อนานพอสมควร โดยเริ่มจากการปลอมตัวเป็นตัวแทนบริษัทร่วมลงทุน (Venture Capital) บน LinkedIn หรือ Telegram และเข้าไปพูดคุยเกี่ยวกับโอกาสทางธุรกิจในแวดวงการเงิน โดยเฉพาะโซลูชันด้านสภาพคล่องของสกุลเงินดิจิทัล เมื่อสร้างความไว้วางใจได้แล้ว ผู้โจมตีจะหลอกล่อให้เหยื่อเปิดคลังข้อมูล (vault) ของ Obsidian ที่อยู่บนคลาวด์ซึ่งผู้โจมตีควบคุมอยู่ พร้อมกับให้เปิดใช้งานการซิงโครไนซ์ปลั๊กอินชุมชน
เมื่อเหยื่อเปิดใช้งานคลัง Obsidian ดังกล่าว ปลั๊กอินชุมชนที่เป็นอันตรายก็จะเริ่มทำงานอย่างเงียบๆ โดยไม่มีสัญญาณเตือนใดให้สังเกตเห็น และดำเนินการติดตั้งมัลแวร์ PHANTOMPULSE RAT บนเครื่องของเหยื่อโดยอัตโนมัติ ซึ่งเมื่อมัลแวร์ทำงานแล้ว ผู้โจมตีสามารถเข้าถึงและควบคุมอุปกรณ์ได้เต็มรูปแบบ ไม่ว่าจะเป็นการดูไฟล์ ถ่ายภาพหน้าจอ หรือขโมยข้อมูลสำคัญอย่างคีย์กระเป๋าคริปโต
ทำไมกลุ่มคริปโตถึงเป็นเป้าหมายหลัก
นักลงทุนและเทรดเดอร์คริปโตมักใช้แอปจดบันทึกอย่าง Obsidian ในการบันทึกกลยุทธ์การลงทุน ข้อมูล seed phrase หรือบันทึกพอร์ตโฟลิโอ ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับมิจฉาชีพ นอกจากนี้ วัฒนธรรมของวงการคริปโตที่เน้นการสร้างเครือข่ายและเปิดรับโอกาสทางธุรกิจใหม่ๆ ผ่านช่องทางออนไลน์อย่าง LinkedIn และ Telegram ยิ่งทำให้การโจมตีในรูปแบบนี้ได้ผลมากกว่ากลุ่มอื่น เพราะเหยื่อมักไม่ระแวงเมื่อมีคนเข้ามาคุยเรื่องธุรกิจผ่านช่องทางดังกล่าว
ก่อนหน้านี้ Siam Blockchain ได้รายงานว่า แอปปลอม Ledger Live บน App Store ขโมยคริปโตเหยื่อ 50 รายกว่า $9.5 ล้าน และ Web3 เสียหายกว่า $464 ล้านใน Q1/2026 โดยฟิชชิงคิดเป็น $306 ล้าน ซึ่งสะท้อนให้เห็นว่ากลโกงทางไซเบอร์ที่กำหนดเป้าหมายนักลงทุนคริปโตกำลังพัฒนาและซับซ้อนมากขึ้นเรื่อยๆ
วิธีป้องกันตัวเองจากกลโกงนี้
Elastic Security Labs แนะนำให้ผู้ใช้ Obsidian ระมัดระวังการเปิดคลังข้อมูล (vault) จากแหล่งที่ไม่รู้จัก และไม่ควรเปิดใช้งานปลั๊กอินชุมชนจากคนแปลกหน้าไม่ว่าจะอ้างเหตุผลใดก็ตาม หากมีคนแปลกหน้าติดต่อมาทาง LinkedIn หรือ Telegram เพื่อเสนอโอกาสทางธุรกิจในวงการคริปโตและขอให้เปิดไฟล์หรือคลังข้อมูลร่วมกัน ควรตั้งข้อสงสัยทันที นอกจากนี้ ควรหลีกเลี่ยงการเก็บข้อมูลสำคัญอย่าง seed phrase หรือ private key ไว้ในแอปจดบันทึกที่ซิงโครไนซ์กับคลาวด์ และควรอัปเดตซอฟต์แวร์ป้องกันไวรัสให้เป็นเวอร์ชันล่าสุดอยู่เสมอ เพื่อเพิ่มโอกาสในการตรวจจับมัลแวร์ประเภทนี้
ส่วนตัวผู้เขียนมองว่ากลโกงแบบนี้น่ากังวลมากกว่ากลโกงทั่วไป เพราะมันใช้เวลาสร้างความสัมพันธ์และความไว้วางใจก่อน ทำให้เหยื่อไม่ทันระวังตัว วงการคริปโตเราชอบเปิดรับโอกาสใหม่ๆ และคุยธุรกิจกับคนแปลกหน้าบน Telegram อยู่แล้ว ซึ่งเป็นจุดอ่อนที่มิจฉาชีพนำมาใช้ได้อย่างแนบเนียน สิ่งที่ควรจับตาดูคือแพลตฟอร์มอื่นๆ ที่มีระบบปลั๊กอินของชุมชน เพราะรูปแบบการโจมตีนี้อาจถูกนำไปปรับใช้กับแอปอื่นๆ ได้อีก ถ้าใครใช้ Obsidian ในการทำงานด้านคริปโตอยู่ ให้ตรวจสอบปลั๊กอินที่ติดตั้งอยู่ให้ดีก่อนเลยนะครับ
ที่มา: Cointelegraph
ภาพจาก AI
