แฮกเกอร์จะแจกมัลแวร์ผ่านทางแอป TradingView ปลอมบนกระทู้ Reddit ติดตั้งแล้วถูกขโมยคริปโตได้ทันทีเว็บบอร์ดที่ได้รับความนิยมสูงสุดของโลกมาอย่างยาวนานนั้นคงหนีไม่พ้น Reddit ซึ่งสิ่งที่อยู่ในบอร์ดนั้นก็ไม่ได้มีแค่เพียงกระทู้ดี และกระทู้เกรียนเท่านั้น แต่ยังรวมถึงกระทู้ของผู้ไม่ประสงค์ดีหลอกปล่อยมัลแวร์อีกด้วยจากรายงานโดยเว็บไซต์อย่างเป็นทางการของบริษัทผู้พัฒนาเครื่องมือปราบมัลแวร์อย่าง Malwarebyte ได้รายงานถึงการตรวจพบแคมเปญการแพร่กระจายของมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ชื่อดัง 2 ตัว บนเว็บบอร์ด Reddit ซึ่งทั้ง 2 ตัวนั้นคือ AMOS และ Lumma Stealer ซึ่งการโจมตีครั้งนี้นั้นจะต่างจากครั้งที่ผ่านมาเนื่องจากไม่ได้เป็นการสร้างโพสต์ Reddit ปลอมให้เหยื่อเข้ามาทาง Google อีกต่อไป แต่เป็นการสร้างบัญชีเพื่อโพสต์กระทู้แจกของสอดไส้มัลแวร์จริง ๆโดยแฮกเกอร์จะทำการโพสต์กระทู้ไว้ใน Subreddits ที่เกี่ยวข้องกับการลงทุน และมักถูกเยี่ยมชมโดยผู้ซื้อขาย หรือลงทุนในเงินคริปโตเคอร์เรนซี ซึ่งตัวกระทู้นั้นแฮกเกอร์จะทำทีเป็นโพสต์แจกซอฟต์แวร์สำหรับวิเคราะห์ตลาดการซื้อขายคริปโตเคอร์เรนซี, เงินตราระหว่างประเทศ (Forex) และตราสารทุนยอดนิยมที่มีชื่อว่า TradingView โดยแฮกเกอร์จะอ้างว่าตัวที่ตนแจกอยู่นั้นสามารถใช้งานได้ฟรีโดยไม่เสียค่าใช้จ่าย ทั้งยังมีฟังก์ชันครบถ้วนเนื่องจากเป็นเวอร์ชันที่แคร็กมาเรียบร้อยแล้ว โดยจะแบ่งเป็น 2 เวอร์ชันนั่นคือ Windows และ macOS ทั้งยังแฝงความแนบเนียนไว้ด้วยคำเตือนว่า ผู้ที่ติดตั้งจะต้องรับความเสี่ยงด้วยตนเอง อีกด้วยนอกจากนั้นยังมีคอมเมนต์ (ปลอม) ที่แฮกเกอร์สร้างสถานการณ์เพื่อความน่าเชื่อถือว่า เวอร์ชันแคร็กดังกล่าวนั้นถึงจะไม่ได้รับการรับรองโดยระบบของ Apple แต่ก็ไม่ได้มีไวรัสใด ๆ และเครื่อง Mac ไม่มีทางติดไวรัสหรอก ไวรัสไม่มีจริง เพื่อให้ผู้ใช้งานที่ไม่ได้มีความรู้มากเพียงพอตายใจ ทั้งยังแนะนำการตั้งค่าในส่วนของ System Settings >>> Privacy & Security เพื่อให้สามารถติดตั้งได้สำเร็จอีกด้วยมัลแวร์ Infostealer กำลังระบาดหนักอยู่บนบอร์ด Redditภาพจาก : https://www.malwarebytes.com/blog/scams/2025/03/amos-and-lumma-stealers-actively-spread-to-reddit-usersในการตรวจสอบซอฟต์แวร์ปลอมดังกล่าวนั้น ทาง Malwarebyte พบว่า มีความน่าสงสัย และน่าฉงนเกี่ยวกับพฤติกรรมของแฮกเกอร์ในบางประการ เช่น ตัวไฟล์ไม่ได้ถูกฝากไว้บนบริการฝากไฟล์ที่มีความน่าเชื่อถือแบบที่แคมเปญอื่น ๆ มักใช้งานกันอย่างเช่น Mega แต่กลับฝากไฟล์ไว้บนเว็บไซต์ของบริษัทที่ให้บริการทำความสะอาดในกรุงดูไบ และที่น่าสังเกตคือ เว็บไซต์ดังกล่าวนั้น ตัว PHP ที่ใช้งานเป็นเวอร์ชันที่ไม่ได้อัปเดต และหมดอายุการใช้งาน (End-of-Life) มาตั้งแต่เดือนธันวาคม ค.ศ. 2021 (พ.ศ. 2564) เป็นที่เรียบร้อยแล้ว ทำให้เว็บไซต์ดังกล่าวนั้นง่ายต่อการถูกแฮกเพื่อนำไปใช้งานต่อไม่เพียงเท่านั้น ทางทีมวิจัยยังพบว่า ไฟล์สำหรับการติดตั้งนั้นยังถูกบีบอัดไว้ 2 ชั้น (Double Zipped) โดยไฟล์บีบอัดตัวที่ 2 หลังจากที่ถูกคลายออกมา จะเป็นไฟล์บีบอัดแบบที่ต้องใช้รหัสผ่าน โดยใช้รหัสผ่านที่แฮกเกอร์ให้ไว้บนกระทู้ดังกล่าวเพื่อทำการคลายไฟล์ซึ่งสำหรับเวอร์ชัน Mac นั้นจะเป็นการติดตั้งมัลแวร์ AMOS เวอร์ชันใหม่ลงบนเครื่อง โดย AMOS เวอร์ชันนี้นั้น ทางทีมวิจัยพบว่าตัวมัลแวร์มีสคริปท์สำหรับใช้ในการยิง POST Request ไปยังหมายเลขไอพี 45.140.13.244 เซิร์ฟเวอร์ควบคุม (Command and Control หรือ C2) ที่ตั้งอยู่ที่ประเทศเซเชลส์ นอกจากนั้นแล้ว ยังมีการใช้โค้ดพิเศษเพื่อตรวจสอบว่าตัวเครื่องมีการใช้งาน Virtual Machine หรือไม่ ซึ่งเป็นกลไกหนึ่งสำหรับหลบเลี่ยงการถูกวิเคราะห์โดยทีมผู้เชี่ยวชาญ โดยตัวโค้ดพิเศษนี้จะสั่งการให้มัลแวร์หยุดทำงานพร้อมกับคำเตือน Error 92 ในทันทีที่มีการตรวจพบ ซึ่งโค้ดดังกล่าวนั้นมีลักษณะดังนี้osascript -e “set memData to do shell script “system_profiler SPMemoryDataType”if memData contains “QEMU” or memData contains “VMware” thendo shell script “exit 42″elsedo shell script “exit 0″end if”และสำหรับเวอร์ชัน Windows ซึ่งเป็นมัลแวร์ Lumma Stealer นั้น ทางทีมวิจัยพบว่าตัวไฟล์ปล่อยมัลแวร์ (Payload) นั้นจะเป็นไฟล์ในรูปแบบที่มีการแทรกโค้ดตีรวนระบบรักษาความปลอดภัย (Obfuscation) ที่มีชื่อว่า Costs.tiff.bat โดยไฟล์ดังนั้นกล่าวจะถูกรันด้วยสคริปท์สำหรับการสั่งการทำงานอัตโนมัติ หรือ AutoIT (Sad .com) ซึ่งมีลักษณะดังนี้”C:Windowssystem32cmd.exe” /c expand Costs.tiff Costs.tiff.bat & Costs.tiff.batcmd /c copy /b 701617Sad.com + Io + Thin + Experiment + Detect + Subsection + Meter + Well + Walls + Substantially + Mcdonald 701617Sad.comหลังจากนั้นตัวมัลแวร์จะทำการติดต่อกับเซิร์ฟเวอร์ C2 ที่มีชื่อว่า cousidporke[.]icu ซึ่งตั้งอยู่ในประเทศรัสเซียเพื่อรับคำสั่งในการเข้าโจมตีระบบของเหยื่อโดยในแคมเปญดังกล่าวนั้น ทาง Malwarebyte ได้รับรายงานว่ามีเหยื่อรายหลายที่ถูกขโมยเงินคริปโตเคอร์เรนซีจนหมดตัวโดยมัลแวร์ดังกล่าว ดังนั้น ทางป้องกันที่ดีที่สุดคือไม่ใช่ซอฟต์แวร์เถื่อน และไม่เชื่อใจกระทู้หรือคอมเมนต์ที่ดูผิดสังเกตโดยเด็ดขาด➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv
มัลแวร์ Infostealer กำลังระบาดหนักอยู่บนบอร์ด Reddit
by
Tags: