โปรดอัพเดตเบราว์เซอร์

เบราว์เซอร์ที่คุณใช้เป็นเวอร์ชันเก่าซึ่งไม่สามารถใช้บริการของเราได้ เราขอแนะนำให้อัพเดตเบราว์เซอร์เพื่อการใช้งานที่ดีที่สุด

พบมัลแวร์ MassJacker แฝงตัวอยู่ตามซอฟต์แวร์เถื่อน มุ่งขโมยเงินคริปโตเหยื่อ

Thaiware

อัพเดต 26 มี.ค. 2568 เวลา 04.00 น. • เผยแพร่ 26 มี.ค. 2568 เวลา 04.00 น. • Sarun_ss777
มัลแวร์ดังกล่าวจะเปลี่ยนข้อมูลที่อยู่ Wallet บน Clipboard ทำให้เหยื่อส่งเงินไปยังแฮกเกอร์แทนที่จะถึงมือผู้รับ

ซอฟต์แวร์เถื่อนถึงแม้จะทำให้ผู้ใช้งานสามารถใช้โดยไม่จ่ายเงินได้ แต่ก็เป็นเรื่องที่ผิดกฎหมาย ทั้งยังนำพามาซึ่งของแถมไม่พึงประสงค์มากมายหลายอย่าง

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบการแพร่ระบาดของมัลแวร์ MassJacker ซึ่งเป็นมัลแวร์ประเภท Clipper (หรืออีกชื่อหนึ่งว่า Cryware) หรือมัลแวร์สำหรับการขโมยข้อมูล และเปลี่ยนแปลงข้อมูลในส่วนของ Clipboard โดยทีมวิจัยจาก CyberArk บริษัทผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลด้านตัวตน (Identity Security) โดยมัลแวร์ดังกล่าวนั้นจะทำหน้าที่ในการสับเปลี่ยนที่หมายของกระเป๋าเงินคริปโต (Wallet Address) ที่ถูกวางไว้บน Clipboard จากที่หมายที่ผู้ส่งตั้งใจจะส่งไป มาเป็นที่หมายกระเป๋าของแฮกเกอร์แทน ทำให้เงินแทนที่จะเข้าสู่กระเป๋าของผู้รับ กลับต้องตกไปอยู่ในมือของแฮกเกอร์ในท้ายที่สุด

ซึ่งทางทีมวิจัยได้เปิดเผยว่า ต้นตอของมัลแวร์ดังกล่าวนั้นมาจากเว็บไซต์ที่อ้างตนว่าเป็นเว็บไซต์สำหรับดาวน์โหลดซอฟต์แวร์เถื่อนที่มีชื่อว่า pesktop[.]com โดยบนเว็บไซต์นั้นจะมีซอฟต์แวร์เถื่อนสารพัดชนิดที่เลือกดาวน์โหลดใช้งาน โดยหลังจากที่เหยื่อได้ทำการดาวน์โหลดซอฟต์แวร์จากบนเว็บไซต์เป็นที่เรียบร้อยแล้ว เมื่อกดติดตั้ง ก็จะนำไปสู่การรันสคริปท์ PowerShell เพื่อทำการติดตั้งมัลแวร์ประเภท Botnet (มัลแวร์สำหรับใช้เครื่องเหยื่อเป็นกองทัพในการโจมตีระบบอื่น) ที่มีชื่อว่า Amadey พร้อมทั้งดาวน์โหลดไฟล์ .Net เพื่อใช้ในการดำเนินการดาวน์โหลดไฟล์มัลแวร์อีกตัวมา ซึ่งเหตุที่แบ่งออกเป็น 2 ไฟล์นั้น ก็เพื่ออำนวยความสะดวกให้สามารถติดตั้งมัลแวร์ได้ตามที่สถาปัตยกรรมเครื่องของเหยื่อรองรับ โดยแบ่งออกเป็น x86 และ x64

จากนั้นก็จะทำการรันไฟล์ .Net ดังกล่าวเพื่อดาวน์โหลดไฟล์ติดตั้งมัลแวร์ที่มีชื่อว่า PackerE ซึ่งเป็นไฟล์แบบ DLL ประเภทเข้ารหัส โดยไฟล์ดังกล่าวจะนำไปสู่การดาวน์โหลด ไฟล์ DLL ที่ 2 (Packer2) ซึ่งเป็นไฟล์ DLL ของตัวมัลแวร์ที่แท้จริงที่จะทำการดาวน์โหลด และรันไฟล์มัลแวร์ MassJacker ที่อยู่ในรูปแบบไฟล์ .Exe แล้วทำการยิง (Inject) ตัวมัลแวร์ลงไว้บน Process ที่มีชื่อว่า InstalUtil.exe บน Windows Process เพื่อแฝงตัวทำงานบนระบบของเหยื่อในท้ายที่สุด

พบมัลแวร์ MassJacker แฝงตัวอยู่ตามซอฟต์แวร์เถื่อน มุ่งขโมยเงินคริปโตเหยื่อ

ภาพจาก : https://thehackernews.com/2025/03/new-massjacker-malware-targets-piracy.html

นอกจากความสามารถในการขโมยแล้ว ตัวมัลแวร์ยังมาพร้อมความสามารถในการหลีกเลี่ยงการตรวจจับและวิเคราะห์โดยผู้เชี่ยวชาญ (Anti-Debugging), ความสามารถในการต่อต้านการถูกดีบั๊ก (Anti-Debugging) ทำให้การตรวจสอบนั้นทำได้ยุ่งยากขึ้นมาก

ไม่เพียงเท่านั้น ทางทีมวิจัยยังพบว่า แฮกเกอร์ที่เป็นเจ้าของมัลแวร์ตัวดังกล่าว มีที่อยู่ของกระเป๋าเงินคริปโตที่เกี่ยวข้องกับมัลแวร์ดังกล่าวมากถึง 778,531 บัญชี ซึ่งจากทั้งหมดนั้นพบว่า มี 423 บัญชีที่มีเงินจากการถูกขโมยมา บรรจุอยู่เป็นมูลค่ามากถึง 95,300 ดอลลาร์สหรัฐ (3,215,422 บาท) แต่มูลค่าของการทำธุรกรรมในการส่งเงินออก (ซึ่งคาดว่าอาจส่งไปยังบัญชีอื่นของแฮกเกอร์ หรือ บัญชีม้าอื่น ๆ ) ที่สูงถึง 336,700 ดอลลาร์สหรัฐ (หรือ 11,360,258 บาท) นอกจากนั้นยังพบว่า มีกระเป๋าเงินบัญชีหนึ่งที่มีเงินในสกุล SOL (หรือ Solana) ประมาณ 800 เหรียญ ตีเป็นมูลค่าที่สูงมากถึง 87,000 ดอลลาร์สหรัฐ (หรือ 2,935,380 บาท) โดยมีธุรกรรมการถูกโอนเข้ามากถึง 350 ธุรกรรม จากหลากบัญชีที่

แต่ทั้งหมดนี้สามารถป้องกันได้ เพียงแค่หลีกเลี่ยงการใช้ซอฟต์แวร์ที่ไม่ถูกลิขสิทธิ์ ซึ่งนอกจากจะผิดกฎหมายแล้ว ของแถมที่ได้รับอาจนำไปการสูญเสียเงินอย่างไม่รู้ตัวอีกด้วย

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv

ดูข่าวต้นฉบับ
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...