ระวังมัลแวร์เล็งกลุ่มนักลงทุนคริปโตตัวใหม่ แพร่กระจายทางแอปจดโน๊ต Obsidian
คริปโตเคอร์เรนซี ถึงแม้กระแสการลงทุนในปัจจุบันจะไม่ได้ร้อนแรงเท่าเมื่อหลายปีที่ผ่านมา แต่ด้วยการรักษาความลับของผู้ทำธุรกรรมที่ยอดเยี่ยม ก็ทำให้ยังคงตกเป็นเป้าของการถูกขโมยโดยเหล่าแฮกเกอร์อยู่ ทำให้แฮกเกอร์ได้ใช้มัลแวร์หลากประเภทมาใช้งานเพื่อที่จะเข้าถึงกระเป๋า และปล้นชิงมาให้ได้
จากรายงานโดยเว็บไซต์ Coinmarketcap ได้กล่าวถึงการตรวจพบแคมเปญการขโมยเงินคริปโตเคอร์เรนซีผ่านมัลแวร์ครั้งใหม่โดยทีมวิจัยจาก Elastic Security Labs บริษัทผู้เชี่ยวชาญด้านการจัดการภัยไซเบอร์ ทางทีมวิจัยได้เปิดเผยว่า แฮกเกอร์ที่อยู่เบื้องหลังแคมเปญการโจมตีดังกล่าวนั้นจะใช้การหลอกลวงเหยื่อด้วยวิธีการทำวิศวกรรมทางสังคม (Social Engineering) ผ่านทางโซเชียลมีเดียสำหรับคนทำงานอย่าง Linkedin โดยอ้างว่าเป็นตัวแทนจากบริษัทผู้ระดมทุน หรือ Venture Capital มาชักชวนให้เข้าร่วมโครงการเกี่ยวกับการเงิน และคริปโตเคอร์เรนซี ซึ่งมิจฉาชีพกลุ่มนี้มักจะชวนให้เหยื่อไปคุยต่อผ่านทางบริการแชท Telegram และชักชวนให้เหยื่อใช้งานแอปพลิเคชันสำหรับการจดโน้ต Obsidian เพื่อเข้าอ่านข้อมูลบนฐานข้อมูลของบริษัท (ที่แอบอ้าง) โดยแฮกเกอร์จะให้รหัสผ่านสำหรับการเข้าสู่ “ตู้นิรภัย” (Vault) บนระบบคลาวด์ที่อ้างว่าเป็นของบริษัทที่แท้จริงแล้วอยู่ภายใต้การควบคุมของแฮกเกอร์
หลังจากที่เหยื่อสามารถเข้าถึง Vault บนระบบคลาวด์ได้แล้ว ตัว Vault ก็จะสั่งให้เหยื่อทำการเปิดใช้งานปลั๊กอิน (Plug In) เหยื่อทำการเปิดใช้งานปลั๊กอินตามที่แฮกเกอร์ได้กำหนดไว้ ตัวปลั๊กอินที่มีการฝังโทรจัน (Trojan) ไว้ก็จะเริ่มทำงานทันที นำไปสู่ห่วงโซ่ของการฝังมัลแวร์ (Infection Chain) ลงสู่เครื่องโดยมีตัว Vault ทำหน้าที่เป็นพาหะ (Vector) ซึ่ง Infection Chain ดังกล่าวนั้นสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows และ macOS ซึ่งจะนำไปสู่การฝังมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ชื่อว่า PHANTOMPULSE
มัลแวร์ PHANTOMPULSE นั้นเรียกได้ว่ามีความสามารถที่ร้ายกาจมากเพราะมีระบบการควบคุม และสั่งการ (C2 หรือ Command and Control) แบบไม่รวมศูนย์ (Decentralized) ที่ปฏิบัติการบนเครือข่ายบล็อกเชน (Blockchain) มากถึง 3 ระบบ โดยตัวมัลแวร์จะทำการอ่านธุรกรรมบนเครือข่าย (On-Chain Transaction) ที่เชื่อมต่อกับกระเป๋าเงินคริปโตเคอร์เรนซี (Wallet) ที่ถูกกำหนดไว้ เพื่อเชื่อมต่อกับระบบของทางแฮกเกอร์ และรอรับคำสั่งต่อไป
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv