สรุปข่าว
- ทีมความปลอดภัยของ Microsoft ค้นพบแคมเปญฝังมัลแวร์ขุดคริปโตที่ใช้วิธีการหลอกลวงทางสังคมขั้นสูงเพื่อมุ่งเป้าโจมตีกลุ่มเกมเมอร์และผู้ที่ชื่นชอบฮาร์ดแวร์คอมพิวเตอร์สเปกสูงโดยเฉพาะ
- แฮกเกอร์ใช้เทคนิคการปั่นอันดับบนหน้าค้นหาและการแทรกแซงผลลัพธ์ของแชตบอตปัญญาประดิษฐ์เพื่อหลอกล่อให้เหยื่อดาวน์โหลดซอฟต์แวร์ปลอมที่แฝงมากับโปรแกรมตรวจสอบระบบยอดนิยม
- มัลแวร์ตัวนี้มีความสามารถในการหลบหลีกการตรวจจับขั้นสูงโดยจะติดตามการใช้งานกราฟิกการ์ดและหยุดทำงานอัตโนมัติเมื่อมีการใช้งานเครื่องเพื่อไม่ให้เจ้าของคอมพิวเตอร์สังเกตเห็นความผิดปกติ
แนวโน้มผลกระทบต่อราคา Neutral
ภัยคุกคามทางไซเบอร์ที่มุ่งเป้าขโมยทรัพยากรคอมพิวเตอร์ของผู้ใช้งานทั่วไปไม่ได้ส่งผลกระทบโดยตรงต่อปัจจัยพื้นฐานหรือสภาพคล่องของตลาดสกุลเงินดิจิทัลในภาพรวม
ทีม Microsoft Threat Intelligence ได้ค้นพบแคมเปญ Cryptojacking หรือการลักลอบขุดคริปโตที่มีความซับซ้อนสูงซึ่งผสมผสานระหว่างการเจาะระบบผ่านเว็บและวิศวกรรมสังคมที่แนบเนียน แคมเปญนี้จงใจพุ่งเป้าไปที่กลุ่มผู้ชื่นชอบฮาร์ดแวร์และเกมเมอร์พีซีเพื่อแย่งชิงทรัพยากรกราฟิกการ์ดหรือ GPU ประสิทธิภาพสูงมาใช้ในการลักลอบขุดสกุลเงินดิจิทัลอย่างผิดกฎหมาย โดยผู้เชี่ยวชาญของ Microsoft Defender สังเกตเห็นว่าผู้ไม่ประสงค์ดีกำลังใช้เทคนิคแทรกแซงผลลัพธ์ของแชตบอตปัญญาประดิษฐ์เพื่อหลอกล่อให้ผู้ใช้งานที่ไม่ระวังตัวดาวน์โหลดมัลแวร์
โดยปกติแล้วแคมเปญการลักลอบขุดคริปโตมักจะให้ความสำคัญกับปริมาณการแพร่ระบาดมากกว่าความแม่นยำ ทว่าแคมเปญที่เพิ่งค้นพบใหม่นี้ได้รับการออกแบบมาโดยเฉพาะเพื่อดึงผลตอบแทนจากอุปกรณ์แต่ละเครื่องให้ได้มากที่สุด ผู้โจมตีหลอกล่อเป้าหมายโดยใช้การปั่นผลลัพธ์การค้นหาควบคู่ไปกับลิงก์อันตรายที่ฝังอยู่ในคำตอบที่สร้างโดยแชตบอต ทำให้ผู้ใช้งานที่ต้องการดาวน์โหลดซอฟต์แวร์ถูกกฎหมายถูกเปลี่ยนเส้นทางไปยังโดเมนที่ทำเลียนแบบขึ้นมา
เว็บไซต์อันตรายเหล่านี้จะปลอมตัวเป็นโปรแกรมตรวจสอบฮาร์ดแวร์และยูทิลิตี้ระบบยอดนิยม โดยแพ็กเกจดาวน์โหลดที่ถูกเจาะระบบจะรวมถึงโปรแกรมอย่าง CrystalDiskInfo HWMonitor และ FurMark
หลังจากดาวน์โหลดซอฟต์แวร์เป้าหมายแล้ว เหยื่อจะได้รับไฟล์ประเภท ZIP ที่มีไฟล์อันตรายซ่อนอยู่ ระบบจะเปิดใช้งานมัลแวร์อย่างเงียบๆ ผ่านเทคนิคที่เรียกว่า DLL Sideloading จากนั้นมัลแวร์จะติดตั้ง ScreenConnect ซึ่งเป็นเครื่องมือจัดการระยะไกลที่ถูกกฎหมาย ทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงเครื่องคอมพิวเตอร์ได้อย่างถาวร
ผู้โจมตียังใช้เทคนิค Process Hollowing โดยเพย์โหลดแบบปรับแต่งเองจะเรียกใช้โปรแกรมระบบของ Windows ที่เชื่อถือได้และได้รับการรับรองจาก Microsoft จากนั้นจึงฉีดโค้ดสำหรับการขุดลงในพื้นที่หน่วยความจำของโปรแกรมที่เชื่อถือได้นั้นโดยตรง ก่อนที่ตัวโหลดจะทำการดาวน์โหลดโปรแกรมขุดที่เน้นการใช้งาน GPU อย่าง gminer เข้ามาทำงาน
มัลแวร์ตัวนี้จะตรวจสอบระบบอย่างต่อเนื่องเพื่อหลบเลี่ยงการถูกจับได้ โดยมันจะเฝ้าดูการใช้งานกราฟิกการ์ดและเวลาที่ผู้ใช้งานปล่อยเครื่องทิ้งไว้ โปรแกรมขุดจะหยุดกิจกรรมของมันโดยอัตโนมัติเพื่อไม่ให้เหยื่อสังเกตเห็นประสิทธิภาพของพีซีที่ลดลงอย่างกะทันหัน นอกจากนี้ซอฟต์แวร์ยังพยายามควบคุมระบบของ Windows ซ้ำแล้วซ้ำเล่าเพื่อเพิ่มข้อยกเว้นลงในการตั้งค่าของโปรแกรมป้องกันไวรัส ทั้งนี้ทาง Microsoft ยืนยันว่าโปรแกรมป้องกันไวรัสของบริษัทสามารถตรวจจับและบล็อกภัยคุกคามที่เกี่ยวข้องกับแคมเปญนี้ได้แล้ว
ที่มา: u.today
มุมมองส่วนตัวผมประเมินว่ามัลแวร์ตัวนี้มีความอันตรายและแยบยลมากครับเพราะมันเจาะจงเป้าหมายไปที่กลุ่มเกมเมอร์ซึ่งมักจะมีคอมพิวเตอร์สเปกสูงที่เหมาะสมกับการขุดคริปโตมากที่สุด การใช้ AI แชตบอตมาช่วยสร้างลิงก์หลอกลวงยิ่งแสดงให้เห็นว่าแฮกเกอร์มีการพัฒนาเครื่องมือที่ซับซ้อนขึ้นเรื่อยๆ สิ่งที่น่ากลัวคือการที่มันรู้จักหยุดทำงานเมื่อเจ้าของเครื่องกลับมาใช้งาน ทำให้เหยื่อแทบไม่รู้ตัวเลยว่าฮาร์ดแวร์ราคาแพงของตนกำลังถูกใช้งานอย่างหนักและเสื่อมสภาพลงเร็วกว่าปกติ ผู้ใช้งานจึงควรระมัดระวังในการดาวน์โหลดโปรแกรมต่างๆ โดยควรโหลดจากเว็บไซต์ทางการของผู้พัฒนาโดยตรงเท่านั้นครับ
