ScarCruft เข้าแฮกแพลตฟอร์มเกม SQGame ปล่อยมัลแวร์ BirdCall ใส่ระบบ Android และ Windows

ในยุคปัจจุบันนั้นการซื้อวิดีโอเกมมักจะเป็นการทำผ่านแพลตฟอร์มต่าง ๆ แทนที่จะเป็นการซื้อแผ่นแบบดั้งเดิม ซึ่งแพลตฟอร์มที่ให้บริการด้านการจัดจำหน่ายวิดีโอเกมนั้นก็มีมากมายอยู่หลายแห่ง ซึ่งแต่ละที่ก็มักจะมีการนำเสนอถึงความปลอดภัยในการใช้งานแพลตฟอร์มว่าแพลตฟอร์มนั้นมีความปลอดภัยมาก ทว่า หลายแพลตฟอร์มก็หนีไม่พ้นการถูกแฮก หรือใช้ช่องโหว่ด้านการตรวจสอบเพื่อปล่อยมัลแวร์ เช่นข่าวนี้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญปล่อยมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ที่มีชื่อว่า BirdCall ด้วยการแฮกแพลตฟอร์มจัดจำหน่ายวิดีโอเกม SQGame (sqgame[.]net) ซึ่งเป็นแพลตฟอร์มที่เป็นที่นิยมใช้งานโดยผู้อยู่อาศัยชาวเกาหลีในแถบย่านชายแดนจีน-เกาหลีเหนือ-รัสเซีย โดยพื้นที่ดังกล่าวนั้นเรียกได้ว่าเป็นจุดเปราะบางด้านความมั่นคง และด้านความสัมพันธ์ระหว่างประเทศ เนื่องจากมักจะเป็นพื้นที่ที่เหล่าผู้แปรพักตร์ชาวเกาหลีหนี ทำการข้ามแม่น้ำเพื่อหนีออกจากประเทศเกาหลีเหนืออยู่บ่อย ๆ ทำให้ทางทีมวิจัยจาก ESET บริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัส (Anti-Virus) ยอดนิยมคาดการณ์ว่า แคมเปญดังกล่าวอาจมีจุดประสงค์เพื่อเล่นงานกลุ่มผู้แปรพักตร์, นักเคลื่อนไหวด้านสิทธิมนุษยชน และเหล่าอาจารย์มหาวิทยาลัย ที่อยู่ในแถบดังกล่าวเป็นหลัก

สำหรับตัวมัลแวร์ดังกล่าวนั้น ทางทีมวิจัยกล่าวว่า ไม่ใช่ของใหม่แต่อย่างใด แต่มีการถูกใช้งานโดยกลุ่มแฮกเกอร์ ScarCruft จากประเทศเกาหลีเหนือมาตั้งแต่ช่วงปี ค.ศ. 2024 (พ.ศ. 2567) แล้ว โดยในช่วงดังกล่าวนั้นจะเป็นการใช้มัลแวร์ BirdCall เวอร์ชันเก่าที่มุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ Windows เป็นหลัก แต่ในช่วง ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมานั้นได้มีการตรวจพบเวอร์ชัน Android ที่มากับวิดีโอเกมสำหรับการใช้งานบนระบบปฏิบัติการ Android ที่ถูกดาวน์โหลดมาจากเว็บไซต์ดังกล่าว

มัลแวร์ BirdCall เวอร์ชัน Android นั้นจะใช้การฝังตัวแบบหลายขั้นตอน (Multi-Stage Infection) ด้วยการใช้งานสคริปท์ภาษา Ruby หรือ Python เป็นตัวเริ่มกระบวนการการฝังตัว โดยตัวมัลแวร์นั้นมีความสามารถคล้ายกับมัลแวร์แบบ Backdoor ตัวอื่น ๆ เช่น ฟังก์ชันในการแอบบันทึกหน้าจอบนเครื่องของเหยื่อ, ฟีเจอร์ดักจับการพิมพ์ (Keystroke Logging), ฟีเจอร์ขโมยข้อมูลที่ถูกบันทึกอยู่บน Clipboard, ฟีเจอร์ขโมยข้อมูลต่าง ๆ, และ ฟีเจอร์สำหรับการรันคำสั่ง Shell บนเครื่องของเหยื่อ ซึ่งประเภทของข้อมูลที่สามารถขโมยได้นั้นก็มีมากมาย ไม่ว่าจะเป็น ข้อความสั้น (SMS หรือ Short Message Service), รายชื่อผู้ติดต่อ (Contact List), ไฟล์สื่อ (Media), ภาพบันทึกหน้าจอ (Screenshot), ไฟล์เอกสาร, ไฟล์เสียงต่าง ๆ นอกจากนั้นทางทีมวิจัยยังพบอีกว่ามัลแวร์เวอร์ชัน Android นั้นได้มีการใช้บริการคลาวด์ที่มีชื่อเสียงเพื่อใช้ในการเป็นระบบควบคุม หรือ C2 (Command and Control) เช่น pCloud, Yandex Disk, และ Zoho WorkDrive

โดยไฟล์วิดีโอเกมที่เป็นต้นเหตุของมัลแวร์ดังกล่าวนั้น ทางทีมวิจัยได้เผยว่ามีรายชื่อ ดังนี้

• sqgame.com[.]cn/ybht.apk
• sqgame.com[.]cn/sqybhs.apk

ซึ่งการที่ไฟล์วิดีโอเกมดังกล่าวนั้นมีมัลแวร์แทรกอยู่ ทางทีมวิจัยได้คาดการณ์ว่าจะมาจากการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ด้วยการแฮกเว็บไซต์แล้วสับเปลี่ยนไฟล์ APK สำหรับใช้ในการติดตั้งวิดีโอเกมเป็นเวอร์ชันที่แฮกเกอร์สอดไส้มัลแวร์ลงไปแทน

สำหรับเวอร์ชัน Windows ที่พบการระบาดมาตั้งแต่ปี ค.ศ. 2024 (พ.ศ. 2567) นั้นจะใช้วิธีการที่ต่างออกไป ด้วยการใช้ตัวแพ็คเกจสำหรับการอัปเดตปลอม มาเป็นตัวล่อ ซึ่งถ้าเหยื่อติดตั้งตัวอัปเดตดังกล่าวลงไป ก็จะเป็นการฝังไฟล์ DLL ของตัวมัลแวร์ที่ทำหน้าที่เป็นมัลแวร์นกต่อ (Loader) ซึ่งตัวมัลแวร์นี้จะทำการตรวจสอบ Process ต่าง ๆ เพื่อให้แน่ใจว่าไม่มีเครื่องมือสำหรับการวิเคราะห์มัลแวร์กำลังรันอยู่ และไม่ได้ทำงานอยู่ในสภาวะล้อมจำลอง (Virtual Machine) ซึ่งถ้าตรวจไม่พบ ก็จะทำการดาวน์โหลดและรันโค้ด Shell เพื่อติดตั้งมัลแวร์แบบเข้าควบคุมเครื่องจากระยะไกล (RAT หรือ Remote Access Trojan) ชื่อ RokRAT ลงมาติดตั้ง โดยมัลแวร์ตัวนี้ทำหน้าที่ในการติดตั้งมัลแวร์ BirdCall เวอร์ชัน Windows อีกที

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv