สรุปข่าว
- Microsoft ตรวจพบมัลแวร์ Crypto Clipper ตัวใหม่บน Windows ที่สามารถแอบเปลี่ยนที่อยู่กระเป๋าคริปโตหรือ “Address” ที่ผู้ใช้ Copy ไว้ ให้กลายเป็น Address ของแฮ็กเกอร์โดยอัตโนมัติ
- ความอันตรายไม่ได้มีแค่การขโมยคริปโต แต่ยังสามารถดึง Seed Phrase, Private Key จับภาพหน้าจอ และเปิดช่องให้แฮ็กเกอร์ควบคุมเครื่องจากระยะไกลได้
- Microsoft แนะนำให้ผู้ใช้ตรวจสอบ Address ทุกครั้งก่อนโอน และหลีกเลี่ยงการเปิดไฟล์ .lnk หรือเสียบ USB จากแหล่งที่ไม่น่าเชื่อถือ
แนวโน้มผลกระทบ: Bearish
Microsoft ออกมาเตือนผู้ใช้งานคริปโต หลังตรวจพบมัลแวร์ตัวใหม่บน Windows ที่ชื่อ Crypto Clipper ซึ่งสามารถแอบเปลี่ยนที่อยู่กระเป๋าคริปโตที่ผู้ใช้คัดลอกไว้ให้กลายเป็น Address ของแฮ็กเกอร์ ทำให้เงินถูกโอนผิดปลายทางโดยไม่รู้ตัว นอกจากขโมยคริปโตแล้ว มัลแวร์ยังดักเก็บ Seed Phrase, Private Key จับภาพหน้าจอ และเปิดช่องให้แฮ็กเกอร์ควบคุมเครื่องจากระยะไกลผ่านเครือข่าย Tor ได้อีกด้วย Microsoft จึงแนะนำให้หลีกเลี่ยงการเปิดไฟล์ .lnk หรือ USB จากแหล่งที่ไม่น่าเชื่อถือ ตรวจสอบ Address ทุกครั้งก่อนยืนยันธุรกรรม และอัปเดตระบบรักษาความปลอดภัยอย่างสม่ำเสมอ เพื่อลดความเสี่ยงจากการสูญเสียสินทรัพย์ดิจิทัล
Microsoft ออกโรงเตือนภัยผู้ใช้งานคริปโต หลังทีมวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบมัลแวร์สายพันธุ์ใหม่บนระบบปฏิบัติการ Windows ที่ถูกออกแบบมาเพื่อขโมยสินทรัพย์ดิจิทัลโดยเฉพาะ ผ่านเทคนิคที่เรียกว่า “Crypto Clipper” ซึ่งสามารถสลับเปลี่ยนที่อยู่กระเป๋าเงินของเหยื่อแบบแนบเนียน จนทำให้เงินคริปโตถูกโอนไปยังบัญชีของแฮ็กเกอร์โดยที่ผู้ใช้อาจไม่ทันสังเกต
ความน่ากลัวของมัลแวร์ตัวนี้คือ มันไม่ได้เป็นเพียงแค่โปรแกรมที่ดักขโมยข้อมูลเท่านั้น แต่ยังสามารถควบคุมเครื่องจากระยะไกล เก็บข้อมูลสำคัญ และสื่อสารกับเซิร์ฟเวอร์ของผู้โจมตีผ่านเครือข่าย Tor ทำให้การติดตามต้นตอของการโจมตีทำได้ยากกว่ามัลแวร์ทั่วไป
มัลแวร์ตัวนี้ทำงานอย่างไร
Microsoft ระบุว่า การโจมตีเริ่มต้นจากไฟล์ Shortcut (.lnk) ที่ปลอมตัวเป็นไฟล์เอกสารทั่วไป ซึ่งมักแพร่กระจายผ่านแฟลชไดรฟ์ USB เมื่อผู้ใช้เปิดไฟล์ดังกล่าว มัลแวร์จะติดตั้งตัวเองลงในเครื่อง พร้อมสร้างช่องทางให้สามารถทำงานได้อย่างต่อเนื่องแม้ผู้ใช้ทำการรีสตาร์ทคอมพิวเตอร์
หลังจากนั้น มัลแวร์จะเชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์ผ่านเครือข่าย Tor เพื่อรับคำสั่งเพิ่มเติม พร้อมเริ่มเฝ้าตรวจสอบข้อมูลที่ผู้ใช้คัดลอกไว้ใน Clipboard ตลอดเวลา โดยจะสแกนทุก ๆ ครึ่งวินาที เพื่อค้นหาข้อมูลที่เกี่ยวข้องกับคริปโทเคอร์เรนซี
มัลแวร์ขโมยคริปโตได้อย่างไร
มัลแวร์ Crypto Clipper จะทำการดักจับข้อมูลที่ผู้ใช้ Copy และ Paste เมื่อผู้ใช้งานคัดลอกที่อยู่กระเป๋าเงินคริปโตหรือ “Address” เพื่อโอนสินทรัพย์ มัลแวร์จะรีบเปลี่ยน Address ดังกล่าวเป็นที่อยู่กระเป๋าของแฮกเกอร์ทันที ก่อนที่ผู้ใช้จะกดปุ่มยืนยันธุรกรรม หากไม่ได้ตรวจสอบตัวอักษรปลายทางอย่างละเอียด เงินคริปโตทั้งหมดอาจถูกส่งไปยังผู้โจมตีโดยตรง และธุรกรรมบนบล็อกเชนไม่สามารถย้อนกลับได้
นอกจากนี้ มัลแวร์ยังสามารถตรวจจับข้อมูลสำคัญอื่น ๆ เช่น Seed Phrase, Private Key รวมถึงจับภาพหน้าจอของเครื่อง เพื่อรวบรวมข้อมูลเกี่ยวกับกระเป๋าเงินและยอดสินทรัพย์ของเหยื่อ ก่อนส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์
ยิ่งไปกว่านั้น หากผู้โจมตีส่งคำสั่งเพิ่มเติมเข้ามา มัลแวร์ยังสามารถรันโค้ดใหม่จากระยะไกล ทำให้เครื่องที่ติดมัลแวร์กลายเป็นช่องทางสำหรับการโจมตีรูปแบบอื่นได้อีกด้วย
ทำไมมัลแวร์ตัวนี้จึงอันตราย
แม้ Crypto Clipper จะมีขนาดเล็ก แต่ Microsoft มองว่ามีความอันตรายสูง เพราะรวมความสามารถหลายอย่างไว้ในตัวเดียว ทั้งการขโมยข้อมูล การเปลี่ยนที่อยู่กระเป๋าเงิน การจับภาพหน้าจอ และการควบคุมเครื่องจากระยะไกล
อีกทั้งยังใช้เครือข่าย Tor เพื่อซ่อนการสื่อสารกับเซิร์ฟเวอร์ของผู้โจมตี ทำให้การติดตามและบล็อกการเชื่อมต่อทำได้ยากกว่ามัลแวร์ทั่วไป ส่งผลให้ผู้ใช้มีโอกาสสูญเสียสินทรัพย์ดิจิทัลโดยไม่รู้ตัว
วิธีป้องกัน
Microsoft แนะนำให้ผู้ใช้งานและองค์กรเพิ่มความระมัดระวังในการเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะไฟล์ Shortcut (.lnk) ที่ได้รับผ่าน USB หรือช่องทางที่ไม่รู้จัก พร้อมปิดฟังก์ชัน AutoRun และ AutoPlay ของอุปกรณ์จัดเก็บข้อมูลแบบถอดได้ เพื่อลดโอกาสที่มัลแวร์จะแพร่กระจายเข้าสู่เครื่องโดยอัตโนมัติ
สำหรับองค์กร ควรบล็อกการรันไฟล์ .lnk จากอุปกรณ์แบบถอดได้ผ่าน Group Policy (GPO) รวมถึงจำกัดการใช้งานโปรแกรมรันสคริปต์ของ Windows เช่น wscript.exe, cscript.exe และ Script Host อื่น ๆ ที่ไม่จำเป็น เพราะมัลแวร์ประเภทนี้อาศัยเครื่องมือดังกล่าวในการเริ่มต้นทำงาน
Microsoft ยังแนะนำให้เปิดใช้กฎ Attack Surface Reduction (ASR) เพื่อป้องกันสคริปต์ที่มีการซ่อนโค้ดและพฤติกรรมผิดปกติ รวมถึงเฝ้าตรวจสอบการทำงานของ PowerShell, cmd.exe และคำสั่ง curl หากมีการเชื่อมต่อเครือข่ายผิดปกติจากสคริปต์เหล่านี้ ควรตรวจสอบทันทีว่าเป็นกิจกรรมที่ได้รับอนุญาตหรือไม่
อีกหนึ่งสัญญาณสำคัญคือ การตรวจพบการเชื่อมต่อผ่าน Local SOCKS5 Proxy บนพอร์ต localhost:9050 ซึ่งมักถูกใช้เป็นช่องทางสื่อสารกับเซิร์ฟเวอร์ของผู้โจมตีผ่านเครือข่าย Tor
นอกจากนี้ องค์กรที่ดูแลระบบด้านการเงินหรือเกี่ยวข้องกับสินทรัพย์ดิจิทัล ควรเฝ้าระวังพฤติกรรมการเข้าถึง Clipboard และการจับภาพหน้าจอของอุปกรณ์ เนื่องจากเป็นวิธีหลักที่มัลแวร์ใช้ในการขโมย Seed Phrase, Private Key และสับเปลี่ยนที่อยู่กระเป๋าเงินคริปโต
สำหรับผู้ใช้งานทั่วไป สิ่งสำคัญที่สุดคือ การตรวจสอบที่อยู่กระเป๋าเงินทุกครั้งก่อนกดยืนยันการโอน อัปเดต Windows และโปรแกรมป้องกันไวรัสให้เป็นเวอร์ชันล่าสุด และหลีกเลี่ยงการเปิดไฟล์หรือเชื่อมต่ออุปกรณ์ USB จากแหล่งที่ไม่น่าเชื่อถือ เพราะเพียงการคลิกไฟล์ที่ถูกดัดแปลงเพียงครั้งเดียว ก็อาจทำให้สินทรัพย์ดิจิทัลทั้งหมดตกอยู่ในมือของผู้ไม่หวังดีได้
ที่มา:Microsoft
