คลื่นใหม่ของมัลแวร์ที่เกี่ยวข้องกับสกุลเงินดิจิทัล
คลื่นใหม่ของ มัลแวร์ ที่เกี่ยวข้องกับ สกุลเงินดิจิทัล กำลังแพร่ระบาดไปทั่วโลกของสินทรัพย์ดิจิทัล และในครั้งนี้ผู้กระทำการมีความฉลาดและหลากหลายมากกว่าที่เคย กลุ่มภัยคุกคามที่มีความต่อเนื่อง (APT) ที่เรียกว่า Librarian Ghouls ซึ่งมีเป้าหมายที่รัสเซีย และ Crocodilus ซึ่งเป็นโปรแกรมขโมยข้ามแพลตฟอร์มที่มีต้นกำเนิดจาก Android banking trojans ได้เปิดตัวแคมเปญล่าสุดที่ใช้ซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เช่น AnyDesk เพื่อซ่อน crypto miners และ keyloggers เมื่อพวกเขาเข้ามาจริง ๆ จะเงียบสงัด—จนกว่าจะถึงกลางคืน
วิธีการโจมตี
ตามข้อมูลจาก Kaspersky Threat Intelligence (9 มิถุนายน 2025) กลุ่ม APT นี้แอบซ่อนการโจมตีเป็นเอกสารปกติ (เช่น ใบสั่งชำระเงิน) ในอีเมล phishing เมื่อเปิดเอกสารของพวกเขา มัลแวร์จะทำการติดตั้ง 4t Tray Minimizer เพื่อซ่อนกระบวนการที่เป็นอันตราย ติดตั้ง AnyDesk สำหรับการเข้าถึงระยะไกล และ XMRig เพื่อขุด Monero ขโมยข้อมูลประจำตัวของกระเป๋าเงิน cryptocurrency และคีย์รีจิสทรี
สิ่งใหม่ในปี 2025 คือการเปิดใช้งานในเวลากลางคืน—มัลแวร์จะทำงานเฉพาะในตอนกลางคืนเพื่อลดโอกาสการถูกตรวจจับ การโจมตีของพวกเขาไม่ได้เป็นเพียงการปล้นแบบ brute-force หากยังรวมความเชี่ยวชาญทางเทคนิคกับการบีบบังคับทางจิตใจ
“Crocodilus’ new parser extracts seed phrases ด้วยความแม่นยำอย่างสูง การคลิกที่ลิงค์ X ปลอมหนึ่งครั้ง และกระเป๋าเงินของคุณจะหายไป”
ภัยคุกคามที่เกิดขึ้น
เมื่อเหยื่อเปิดไฟล์นั้น การติดตั้งมัลแวร์จะเกิดขึ้นอย่างเงียบเชียบ เช่น 4t Tray Minimizer ที่จะปิดบังร่องรอยและ AnyDesk สำหรับการควบคุมระยะไกล ความโดดเด่นที่สำคัญของกลุ่มนี้คือการใช้ตัวกระตุ้นตามเวลา: มัลแวร์จะเปิดใช้งานเฉพาะในตอนกลางคืนเพื่อลดโอกาสการตรวจจับจากทีมความปลอดภัยในเวลาทำงาน ด้วยกลยุทธ์ในเวลากลางคืนนี้ มันสามารถขโมยข้อมูลประจำตัวกระเป๋าเงิน ขุด Monero โดยใช้ XMRig และขโมยข้อมูลที่ละเอียดอ่อนได้โดยไม่มีการตรวจสอบจากผู้ใช้
เหยื่ออาจไม่ตระหนักว่าสิ่งผิดปกติเกิดขึ้นจนกว่าสัปดาห์ต่อมา เมื่อกระเป๋าของพวกเขาหายไปจนหมดและระบบของพวกเขาถูกบุกรุกจนไม่สามารถกลับสู่สภาพเดิมได้อีกต่อไป
ขยายเป้าหมายการโจมตี
Crocodilus ที่เริ่มต้นมาจาก Trojan ของธนาคารตุรกี ตอนนี้ได้ขยายเป้าหมายไปยังผู้ใช้ cryptocurrency ทั่วโลกผ่านทาง:
- แอปพลิเคชันปลอมที่ปลอมตัวเป็น Coinbase, MetaMask หรือเครื่องมือขุด
- โปรแกรมเก็บข้อมูล seed phrase อัตโนมัติที่สแกนอุปกรณ์เพื่อค้นหาข้อมูลกระเป๋าเงิน
- การจัดการทางสังคมผ่านการติดต่อ “การช่วยเหลือธนาคาร” ที่ปลอมในโทรศัพท์ของคุณ
การทำงานของมัลแวร์
ฟีเจอร์ที่อันตรายที่สุดของมัลแวร์คือความสามารถในการขโมย seed phrases จากข้อมูลในคลิปบอร์ด ภาพหน้าจอ และข้อมูล autofill โดยมักจะเกิดขึ้นก่อนที่เหยื่อจะรู้ตัวว่าได้ถูกโจมตี
ผู้โจมตีเริ่มเสนอการเข้าถึงกระเป๋าเงินที่ถูกบุกรุกเพื่อขายในฟอรัม darknet และยังสร้างตลาดมืดสำหรับสินทรัพย์ cryptocurrency ที่ถูกขโมย ทั้งยังมีการใช้การส่งข้อความโฆษณาหมายเลข “การสนับสนุน” ที่หลอกลวงไปยังโทรศัพท์ของเหยื่อเพื่อหลอกให้ผู้ใช้ให้ข้อมูลที่ละเอียดอ่อนในรูปแบบของการสนับสนุนทางเทคนิค
กรณีตัวอย่าง
จากข้อมูลใน X (Twitter) พบว่ามีบัญชีที่ถูกแฮกซึ่งได้รับการยืนยัน เพื่อโปรโมต airdrops ปลอม QR codes ที่เชื่อมโยงกับสัญญาอัจฉริยะที่ใช้ในการขโมยเงินในกระเป๋า นอกจากนี้ แฮกเกอร์ยังใช้ AI deepfake ในการสนับสนุนการสนทนา เพื่อเลียนแบบตัวแทนจริง
“ทำให้เกิดการสูญเสียหลายแสนดอลลาร์ในเวลาไม่กี่นาที”
วิธีการป้องกันภัยคุกคาม
ตามคู่มือปี 2025 ของ Quillaudits เพื่อป้องกันภัยคุกคามดังกล่าว ผู้ใช้ควรใช้แนวทาง OPSEC หลายชั้น ผู้เชี่ยวชาญแนะนำให้ใช้กระเป๋าเงินฮาร์ดแวร์สำหรับการลงทุนที่มีมูลค่าสูง เปิดใช้งานการตรวจสอบสองปัจจัย และไม่เคยแชร์ seed phrases — แม้แต่กับบุคลากรสนับสนุนที่คาดหวังหรือบัญชีโซเชียลที่ถูกต้องตามกฎหมาย
การตรวจสอบความถูกต้องเป็นประจำของกระเป๋าเงิน รักษาซอฟต์แวร์ให้ทันสมัย และแยกการทำธุรกรรม cryptocurrency ออกเป็นอุปกรณ์ใช้ครั้งเดียว สามารถลดความเสี่ยงได้เช่นกัน เมื่อผู้โจมตีเริ่มมีนวัตกรรมและสร้างสรรค์มากขึ้น การป้องกันที่ดีที่สุดคือการอยู่ในวงการและมีทัศนคติที่สงสัยอย่างเพียงพอ
