มัลแวร์ OfficePackage โผล่โจมตีผู้ใช้รัสเซีย เล็งขโมยคริปโตผ่านเทคนิค ClipBanker

Wed, 09 Apr 2025, 09:25 am UTC

มัลแวร์ OfficePackage โผล่โจมตีผู้ใช้รัสเซีย เล็งขโมยคริปโตผ่านเทคนิค ClipBanker / Tokenpost

มัลแวร์ใหม่ที่ปลอมตัวเป็นปลั๊กอินของไมโครซอฟท์ ออฟฟิศกำลังพุ่งเป้าโจมตีผู้ใช้งานในรัสเซีย โดยมีเป้าหมายหลักคือการขโมยข้อมูลกระเป๋าเงินคริปโต ผ่านกลไกที่แนบเนียนในชื่อ ‘โอฟฟิศแพกเกจ’(officepackage) ซึ่งแฝงตัวอยู่ในแพลตฟอร์มโอเพ่นซอร์สอย่างซอร์สฟอร์จ(SourceForge) ตามรายงานของแคสเปอร์สกี้(Kaspersky) เมื่อวันที่ 8

จากการวิเคราะห์ พบว่ามัลแวร์ดังกล่าวใช้เทคนิคที่เรียกว่า *คลิปแบงเกอร์(ClipBanker)* โดยจะแอบเปลี่ยนที่อยู่กระเป๋าเงินคริปโตที่ผู้ใช้งานคัดลอกไว้ในคลิปบอร์ด ให้กลายเป็นของแฮกเกอร์แทน ซึ่งสามารถทำให้เหรียญที่ส่งไปถึงกระเป๋าปลายทาง กลับกลายเป็นไปอยู่ในการครอบครองของคนร้ายแทน โดยที่เหยื่อไม่มีทางรู้ตัว *ความคิดเห็น*: เป็นการโจมตีที่อาศัยพฤติกรรมผู้ใช้งานทั่วไปที่นิยมคัดลอกและวางมากกว่าการพิมพ์เอง

แคสเปอร์สกี้ระบุว่า ฟังก์ชันของมัลแวร์นี้ถูกออกแบบมาอย่างแนบเนียน หน้าตาโครงการในซอร์สฟอร์จเหมือนกับซอฟต์แวร์ถูกต้องตามกฎหมาย ผู้ใช้จึงมักหลงเชื่อได้โดยง่าย นอกจากนี้ ตัวมัลแวร์ยังสามารถส่งข้อมูลระบบของเครื่อง เช่น ไอพีแอดเดรส, ประเทศที่อยู่ และชื่อบัญชีผู้ใช้ไปยังแฮกเกอร์ผ่านแอปเทเลแกรม และมีความสามารถในการลบตัวเองหากตรวจพบว่าอยู่ในเครื่องที่มีโปรแกรมป้องกันไวรัส

แฮกเกอร์ยังใช้กลยุทธ์ปรับแต่งขนาดไฟล์ปลั๊กอินให้เล็กผิดปกติ หรือเพิ่มโค้ดไม่จำเป็นเข้าไปเพื่อหลบเลี่ยงการตรวจสอบ โดยในกรณีนี้ ยังมีการฝังมัลแวร์ประเภทขุดเหรียญไว้ด้วย ซึ่งแคสเปอร์สกี้เตือนว่า เป้าหมายของผู้ไม่หวังดีอาจไม่ใช่แค่การขโมยคริปโต แต่รวมถึงการขายสิทธิ์เข้าถึงเครื่องของเหยื่อให้กับอาชญากรไซเบอร์กลุ่มอื่นด้วย

รูปแบบของมัลแวร์ที่ใช้ภาษารัสเซียบ่งชี้ว่า ผู้ใช้ชาวรัสเซียคือกลุ่มเป้าหมายหลัก โดยตั้งแต่ต้นเดือนมกราคมถึงปลายเดือนมีนาคม มีผู้ใช้งานกว่า 4,600 รายที่ตกเป็นเป้าของการโจมตี และกว่า 90% ของพวกเขาอยู่ในรัสเซีย

แคสเปอร์สกี้แนะว่า ควรดาวน์โหลดซอฟต์แวร์เฉพาะจากแหล่งทางการเท่านั้น และหลีกเลี่ยงการใช้ลิงก์ที่ไม่เป็นทางการหรือซอฟต์แวร์ละเมิดลิขสิทธิ์ ซึ่งมีแนวโน้มสูงที่จะมีมัลแวร์แฝงตัวอยู่

ทั้งนี้ มัลแวร์ที่มุ่งเป้าโจมตีผู้ใช้งานคริปโตไม่ได้หยุดเพียงเท่านี้ เมื่อวันที่ 28 ที่ผ่านมา บริษัทความปลอดภัยไซเบอร์อย่าง *ThreatFabric* เปิดเผยการค้นพบมัลแวร์ใหม่บนระบบแอนดรอยด์ที่แสดงหน้าจอปลอมเพื่อหลอกถาม *ซีดเฟรส(seed phrase)* และยังสามารถเข้าควบคุมเครื่องผู้ใช้งานได้อีกด้วย ความเคลื่อนไหวนี้แสดงให้เห็นถึงแนวโน้มการโจมตีที่ซับซ้อนขึ้นเรื่อย ๆ ในน่านน้ำของสกุลเงินดิจิทัล

<ลิขสิทธิ์ ⓒ TokenPost ห้ามเผยแพร่หรือแจกจ่ายซ้ำโดยไม่ได้รับอนุญาต>

#มัลแวร์คริปโต

บทความที่มีคนดูมากที่สุด