เตือนนักลงทุนคริปโต มัลแวร์วอลเปเปอร์บนสตีมขโมยกระเป๋าเงินดิจิทัล-แอบขุดเหรียญลับ

สตีม เวิร์กชอปซ่อน ‘มัลแวร์’ ในวอลเปเปอร์ ขโมยทั้งข้อมูลกระเป๋าเงินคริปโตและใช้คอมไปขุดเหมืองลับ

แคสเปอร์สกี้เผยพบ ‘มัลแวร์’ แฝงอยู่ในไฟล์วอลเปเปอร์ที่ถูกแจกจ่ายผ่านสตีม เวิร์กชอป(Steam Workshop) ของวาล์ฟ(Valve) โดยไฟล์เหล่านี้สามารถขโมยข้อมูลกระเป๋าเงินคริปโต และแอบติดตั้ง ‘โปรแกรมขุดคริปโต’ ลงในเครื่องผู้ใช้ได้ ทำให้นักลงทุนและผู้ใช้งานทั่วไปต้องเพิ่มความระมัดระวังอย่างจริงจัง

ตามรายงานของแคสเปอร์สกี้ การโจมตีรอบนี้เกิดจากการ ‘นำซอฟต์แวร์ Wallpaper Engine ไปใช้ในทางที่ผิด’ ผู้โจมตีฝังโค้ดอันตรายไว้ในชุดวอลเปเปอร์ โดยภายในไฟล์ติดมัลแวร์ประเภทอินโฟสติลเลอร์อย่าง ‘Lumma’ และ ‘Vidar’ รวมถึงตัวโหลด ‘ReEngine’ ที่ใช้ดึงมัลแวร์ตัวอื่นเข้ามาทำงานต่อ ‘Lumma’ ถูกระบุว่ามีความสามารถสูง สามารถค้นหาและขโมยไฟล์ที่เกี่ยวกับกระเป๋าเงินคริปโต เช่น เมตามาสก์(MetaMask), อิเล็กตรัม(Electrum), เอ็กโซดัส(Exodus) รวมถึงส่วนขยายเบราว์เซอร์และกุญแจลับที่เก็บในเครื่องผู้ใช้

วอลเปเปอร์ต้องสงสัยจำนวนมากใช้ภาพอนิเมะเชิงล่อแหลมเป็นเหยื่อล่อให้คนกดดาวน์โหลด แคสเปอร์สกี้ระบุว่าแพ็กเกจบางชุดมียอดดาวน์โหลดตั้งแต่หลักหลายพันจนถึงหลายหมื่นครั้งแล้ว ทำให้มัลแวร์แพร่กระจายอย่างรวดเร็ว กลุ่มผู้ใช้ที่ถูกตรวจพบการติดเชื้อส่วนใหญ่อยู่ในจีนและรัสเซีย ขณะที่สิงคโปร์ ฮ่องกง เยอรมนี เวียดนาม อินเดีย และแคนาดา ก็มีรายงานการติดเชื้อเช่นกัน

ประเด็นที่น่ากังวลคือผู้โจมตีอาศัย ‘ความน่าเชื่อถือของแพลตฟอร์มเกม’ เป็นเกราะกำบัง แคสเปอร์สกี้มองว่าปฏิบัติการครั้งนี้ไม่น่าจะมาจากกลุ่มแฮกเกอร์รายใหญ่รายเดียว แต่เป็นการลงมือของผู้โจมตีอิสระหลายกลุ่มที่ใช้ช่องทางเดียวกันในการกระจายมัลแวร์ ฝั่งสตีมได้ดำเนินการลบแพ็กเกจวอลเปเปอร์ที่ยืนยันแล้วว่าเป็นมัลแวร์ออกจากแพลตฟอร์มทั้งหมด

กรณีนี้ถือเป็น ‘สัญญาณเตือนแรง’ สำหรับนักลงทุนคริปโตและผู้ใช้ทั่วไป มัลแวร์ที่ขโมยกระเป๋าเงินดิจิทัลและโปรแกรมขุดเหรียญมักทำงานโดยไม่ได้รับความยินยอมจากเจ้าของเครื่อง ทั้งขโมยสิทธิ์เข้าถึงสินทรัพย์ดิจิทัลและใช้ทรัพยากรคอมพิวเตอร์ไปขุดเหมือง จึงอาจทำให้เครื่องช้าลงผิดปกติ หรือส่วนขยายเบราว์เซอร์เปลี่ยนพฤติกรรมอย่างน่าสงสัย ‘ความคิดเห็น’ กรณีนี้ชี้ให้เห็นว่าต่อให้เป็นการดาวน์โหลดจากแพลตฟอร์มที่ดูน่าเชื่อถือ ไฟล์ที่ได้มาก็ยังจำเป็นต้องผ่านการตรวจสอบแยกต่างหาก ไม่อย่างนั้นผู้ใช้ย่อมเสี่ยงถูกโจมตีโดยไม่ทันรู้ตัวเหมือนเหตุการณ์ครั้งนี้