การปราบปรามมัลแวร์ระดับโลก
การปราบปรามระดับโลกต่อมัลแวร์ “cybercrime-as-a-service” ที่ค่อยๆ ดูดเงินจากกระเป๋าเงินคริปโตได้แช่แข็งเงินที่ถูกขโมยไปหลายสิบล้านดอลลาร์ เจ้าหน้าที่บังคับใช้กฎหมายได้ระบุ ทำเครื่องหมาย และแช่แข็งสินทรัพย์คริปโตที่ผิดกฎหมายมากกว่า 41 ล้านยูโร (ประมาณ 47 ล้านดอลลาร์) ในระยะล่าสุดของปฏิบัติการ Endgame ตามที่ Europol กล่าวเมื่อวันพุธ
การโจมตีและมัลแวร์ที่เกี่ยวข้อง
การโจมตีหลายประเทศที่ใช้เวลาสองสัปดาห์ได้ทำลายโครงสร้างพื้นฐานของมัลแวร์สามตระกูล ได้แก่ SocGholish, Amadey และ StealC ทั้งสามตัวมุ่งเป้าไปที่ผู้ใช้คริปโต โดยเฉพาะ StealC ซึ่งเป็น infostealer ที่ขายเป็นบริการตั้งแต่ปี 2023 ได้ขูดรหัสผ่าน คุกกี้ของเบราว์เซอร์ และข้อมูลกระเป๋าเงินคริปโตจากเครื่องที่ติดเชื้อ
“แผงควบคุมของมันยังรวมถึงปลั๊กอินที่พยายามถอดรหัส seed phrases ของกระเป๋า MetaMask ของเหยื่อ”
นักวิจัยที่ Proofpoint พบว่า Amadey ได้รับการเข้าถึงเริ่มต้นและปล่อยมัลแวร์เพิ่มเติม ในขณะที่ SocGholish ซึ่งเชื่อมโยงกับกลุ่มรัสเซีย Evil Corp ได้ติดเชื้อผู้คนผ่านการแจ้งเตือนการอัปเดตเบราว์เซอร์ปลอมบนเว็บไซต์ที่ถูกแฮ็ก
ผลกระทบและการดำเนินการของตำรวจ
ทั้งสามตัวร่วมกันสร้างแนวหน้าในการโจมตีที่ส่งผลให้กระเป๋าเงินถูกดูดเงิน การเข้าควบคุมบัญชี และการเรียกค่าไถ่ ตำรวจได้ทำลายเซิร์ฟเวอร์ 326 เครื่อง และโดเมน 142 โดเมน กู้คืนข้อมูลประจำตัวที่ถูกขโมยเกือบ 27 ล้านรายการ จากระบบที่ถูกบุกรุกมากกว่า 385,000 ระบบ และทำความสะอาดเว็บไซต์ที่ติดเชื้อเกือบ 15,000 เว็บไซต์ ซึ่งหลายแห่งเป็นธุรกิจขนาดเล็ก
Microsoft ซึ่งเป็นพันธมิตรในปฏิบัติการนี้ได้เชื่อมโยง Amadey และ StealC กับคอมพิวเตอร์ที่ติดเชื้อมากกว่า 140,000 เครื่อง ทั่วโลกในช่วงสองสัปดาห์แรกของเดือนพฤษภาคมเพียงอย่างเดียว
การใช้ AI ในการวิเคราะห์มัลแวร์
Infostealers ได้กลายเป็นเส้นทางหลักในการขโมยคริปโต โดยค่อยๆ ยกไฟล์กระเป๋าเงิน คีย์ส่วนตัว และ seed phrases จากอุปกรณ์ของเหยื่อ พวกเขาใช้เวกเตอร์ที่หลากหลายในการมุ่งเป้าไปที่ผู้ใช้คริปโต รวมถึงเครื่องมือ AI ปลอม วอลล์เปเปอร์ Steam และม็อดเกมที่ละเมิดลิขสิทธิ์
ขนาดของการเปิดเผยนั้นกว้างขวาง การดำเนินการ Endgame ก่อนหน้านี้ในปีที่แล้วได้เปิดเผยข้อมูลการเข้าสู่ระบบสำหรับกระเป๋าเงินคริปโตมากกว่า 100,000 กระเป๋า ซึ่งถูกขโมยจากเหยื่อแต่ยังไม่ได้ถูกถอนเงิน
“Microsoft’s Digital Crimes Unit ได้ยื่นฟ้องคดีการก่ออาชญากรรมในสหรัฐอเมริกาที่ถือเป็นครั้งแรกที่จัดการกับมัลแวร์สองตระกูลเป็นการสมรู้ร่วมคิดทางอาญา”
โดยใช้เครื่องมือ AI รวมถึง Copilot ในการวิเคราะห์มัลแวร์ นักสืบพบว่า Amadey และ StealC แม้ว่าจะถูกสร้างโดยอาชญากรที่แตกต่างกัน แต่ทำงานบนโครงสร้างพื้นฐานร่วมกัน ทำให้ Microsoft สามารถเรียกเก็บเงินจากผู้สนับสนุนในทั้งสองปฏิบัติการภายใต้พระราชบัญญัติ RICO และทำลายเซิร์ฟเวอร์ควบคุมมากกว่า 200 เครื่อง
การแจ้งเตือนเหยื่อ
ตั้งแต่นั้นมาได้ระบุคอมพิวเตอร์เหยื่อมากกว่า 18,000 เครื่อง และเริ่มตัดการควบคุมของผู้โจมตี การปราบปรามเช่นนี้มักจะไม่สามารถทำลายมัลแวร์ได้โดยตรง และผู้ดำเนินการมักจะรวมกลุ่มใหม่ โดย StealC ได้ส่งมอบการสร้างใหม่เมื่อไม่นานมานี้
ขณะนี้ Europol และพันธมิตรของมันกำลังส่งการแจ้งเตือนเหยื่อผ่านบริการเช่น Have I Been Pwned เพื่อให้ผู้ใช้สามารถตรวจสอบได้ว่าข้อมูลประจำตัวและคีย์ของกระเป๋าเงินของพวกเขาอยู่ในมือของอาชญากรแล้วหรือไม่
