สรุปสั้น
นักวิจัยจากบริษัท Blackfog เปิดเผยการวิเคราะห์มัลแวร์ขโมยข้อมูลตัวใหม่ชื่อ OnyxC2 ที่วางขายในรูปแบบ Malware-as-a-Service (MaaS) ในราคา 250 ดอลลาร์ต่อเดือน มัลแวร์ตัวนี้สามารถโจมตีแอปพลิเคชันกว่า 210 ตัว ครอบคลุมเบราว์เซอร์ตระกูล Chromium 37 ตัว, เบราว์เซอร์ตระกูล Gecko 8 ตัว, ส่วนขยายเบราว์เซอร์ Chromium 95 ตัว, ส่วนขยาย Gecko 14 ตัว, เครื่องมือ 2FA 6 ตัว, ตัวจัดการรหัสผ่าน 5 ตัว, กระเป๋าคริปโต 17 ตัว, ไคลเอนต์ FTP 11 ตัว และไคลเอนต์อีเมล 5 ตัว โดยเขียนด้วยภาษา C++ ผสมโค้ด assembly เพื่อหลบกฎความปลอดภัย
จุดเด่นของ OnyxC2 คือการ mutate ทุก build ก่อนส่งมอบให้ลูกค้า ทำให้ลายเซ็น AV ไม่สามารถตรวจจับได้ โดยนักพัฒนาอ้างอัตราการหลบหลีกถึง 99% และจากการตรวจสอบบน VirusTotal พบว่าทั้งสอง build ที่นำมาวิเคราะห์ไม่ถูกตรวจจับเลย (0/71 detections ณ วันที่ 30 พฤษภาคม พ.ศ. 2569) มัลแวร์แพร่กระจายผ่านแพ็กเกจตัวติดตั้งปลอมที่ใช้เทคนิค DLL sideloading โหลด DLL อันตรายที่ปลอมเป็นไลบรารี NVIDIA ขนาดกว่า 120 MB จากเครื่องเหยื่อเพียงเครื่องเดียว ผู้โจมตีสามารถขโมยรหัสผ่านที่บันทึกไว้ 55 รายการ คุกกี้ 4,717 รายการ ข้อมูล autofill 719 รายการ ข้อมูลบัตรเครดิต และกระเป๋าคริปโต
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจากบริษัท Blackfog เผยแพร่รายงานการวิเคราะห์มัลแวร์ขโมยข้อมูลตัวใหม่ชื่อ OnyxC2 ที่วางขายในตลาดใต้ดินในรูปแบบ Malware-as-a-Service (MaaS) ในราคา 250 ดอลลาร์ต่อเดือน มัลแวร์นี้ถูกออกแบบมาเพื่อขโมย credentials จากแอปพลิเคชันกว่า 210 ตัว ครอบคลุมเบราว์เซอร์ตระกูล Chromium 37 ตัว, ตระกูล Gecko 8 ตัว, ส่วนขยาย Chromium 95 ตัว, ส่วนขยาย Gecko 14 ตัว, เครื่องมือยืนยันตัวตนสองขั้นตอน (2FA) 6 ตัว, ตัวจัดการรหัสผ่าน 5 ตัว, กระเป๋าคริปโตเคอร์เรนซี 17 ตัว, ไคลเอนต์ FTP 11 ตัว และไคลเอนต์อีเมล 5 ตัว
OnyxC2 เขียนด้วยภาษา C++ ผสมโค้ด assembly เพื่อหลบเลี่ยงกฎความปลอดภัยของระบบปฏิบัติการ จุดเด่นที่สำคัญคือระบบ mutation ที่ทำให้ทุก build ถูกเปลี่ยนแปลงก่อนส่งมอบให้ลูกค้า ส่งผลให้ลายเซ็นของ AV ไม่สามารถตรวจจับได้ นักพัฒนามัลแวร์อ้างอัตราการหลบหลีกถึง 99% และจากการตรวจสอบจริงบน VirusTotal ทั้งสอง build ที่นำมาวิเคราะห์ให้ผลการตรวจจับ 0/71 detections ณ วันที่ 30 พฤษภาคม พ.ศ. 2569
นอกจากความสามารถในการขโมย credentials แล้ว OnyxC2 ยังมีฟีเจอร์ขั้นสูงอีกหลายอย่าง ได้แก่ HVNC (Hidden Virtual Network Computing) ที่ช่วยให้ผู้โจมตีควบคุมเบราว์เซอร์ของเหยื่อแบบซ่อน, keylogger สำหรับบันทึกการพิมพ์, การถ่ายภาพหน้าจอ, การจัดการไฟล์ระยะไกล, reverse SOCKS5 proxy และอุโมงค์ Tor ในตัวสำหรับซ่อนทราฟฟิก C2 จากข้อมูลเครื่องเหยื่อเพียงเครื่องเดียวที่ถูกวิเคราะห์ ผู้โจมตีสามารถขโมยรหัสผ่านที่บันทึกไว้ 55 รายการ, คุกกี้ 4,717 รายการ, ข้อมูล autofill 719 รายการ, ข้อมูลบัตรเครดิต และข้อมูลกระเป๋าคริปโตเคอร์เรนซี



วิธีการโจมตี
OnyxC2 แพร่กระจายผ่านแพ็กเกจตัวติดตั้งปลอม (fake installer) ที่ปลอมเป็นซอฟต์แวร์ที่ผู้ใช้ทั่วไปอาจค้นหาดาวน์โหลด เช่น Fling-Standalone, FinePrint, SystemSettings.exe และแพ็กเกจอัปเดต Windows ปลอม ไฟล์ถูกบรรจุในไฟล์ ZIP ที่เข้ารหัสด้วยรหัสผ่านเพื่อหลบเลี่ยงการสแกนจากระบบรักษาความปลอดภัย
เมื่อเหยื่อเปิดไฟล์ มัลแวร์จะใช้เทคนิค DLL sideloading โดยประกอบด้วยแอปพลิเคชันที่มีลายเซ็นดิจิทัลถูกต้อง (legitimately signed) คู่กับ DLL อันตรายชื่อ borlndmm.dll ที่ปลอมตัวเป็นไลบรารีของ NVIDIA ขนาดของ DLL ถูกเพิ่มให้เกิน 120 MB เพื่อหลบเลี่ยงการสแกนจาก AV บางตัวที่มีขีดจำกัดขนาดไฟล์ เมื่อแอปพลิเคชันที่ลงนามรันขึ้นมา ระบบปฏิบัติการจะโหลด DLL อันตรายเข้าไปโดยอัตโนมัติ จากนั้น payload ที่เข้ารหัสอยู่ภายในจะถูกถอดรหัสเฉพาะตอนรันไทม์เท่านั้น ทำให้ static analysis ไม่สามารถตรวจพบโค้ดอันตรายที่แท้จริงได้
Indicators of Compromise (IoCs)
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| Domain | akmuniverstall[.]top | โดเมน C2 และเผยแพร่มัลแวร์ (ตรวจพบ 13/94 รายการบน VirusTotal) |
| URL Path | /backend/api/app.php | เส้นทาง C2 endpoint เริ่มต้นที่ตัว builder กำหนด |
| IP Address | 104.18.20[.]213 | IP ของ Cloudflare ที่ใช้เป็น fronting สำหรับโครงสร้าง C2 |
| IP Address | 104.21.46[.]39 | IP ของ Cloudflare ที่ใช้เป็น fronting สำหรับโครงสร้าง C2 |
| IP Address | 172.67.223[.]39 | IP ของ Cloudflare ที่ใช้เป็น fronting สำหรับโครงสร้าง C2 |
| SHA-256 | 41999a3d...5e3ae2 | ไฟล์ host executable ที่มีลายเซ็นดิจิทัล (0/71 detections) |
| SHA-256 | 78945c84...a5a38d1 | DLL อันตราย (borlndmm.dll) — Build 1 |
| SHA-256 | d89bb4b2...7ef61e54 | DLL อันตราย (borlndmm.dll) — Build 2 |
| SHA-256 | f6e4b09e...c8fdfab | ไฟล์ ZIP เข้ารหัสสำหรับเผยแพร่ |
| Filename | Fling-Standalone*, FinePrint*, SystemSettings.exe | ชื่อไฟล์ล่อที่ใช้ในแพ็กเกจตัวติดตั้งปลอม |
หมายเหตุ: โดเมนและ IP ถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการเข้าถึงโดยไม่ตั้งใจ
ผลกระทบต่อไทย
OnyxC2 เป็นภัยคุกคามที่ส่งผลกระทบต่อผู้ใช้งานทั่วโลกรวมถึงผู้ใช้ในประเทศไทย เนื่องจากมัลแวร์สามารถขโมยข้อมูลจากเบราว์เซอร์ยอดนิยมที่ใช้กันอย่างแพร่หลาย ตัวจัดการรหัสผ่าน เครื่องมือ 2FA และกระเป๋าคริปโตเคอร์เรนซี ที่น่ากังวลเป็นพิเศษคือการที่มัลแวร์สามารถหลบ AV ได้เกือบทั้งหมด ทำให้ผู้ใช้ที่พึ่งพาซอฟต์แวร์ป้องกันเพียงอย่างเดียวอาจไม่ได้รับการปกป้อง องค์กรและผู้ใช้ส่วนบุคคลในไทยที่ดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือมีความเสี่ยงสูงที่จะตกเป็นเหยื่อ
คำแนะนำ
- ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการของผู้พัฒนาเท่านั้น หลีกเลี่ยงการใช้ตัวติดตั้งจากแหล่งที่ไม่รู้จักหรือ link ที่ส่งผ่านอีเมลและข้อความ
- ระวังไฟล์ ZIP ที่เข้ารหัสด้วยรหัสผ่าน เนื่องจากเป็นเทคนิคที่ผู้โจมตีใช้หลบเลี่ยงการสแกนจากระบบรักษาความปลอดภัย
- ตรวจสอบ IoCs ในตารางด้านบนกับระบบ SIEM และ endpoint ขององค์กร โดยเฉพาะโดเมน
akmuniverstall[.]topและ hash ของ DLL อันตราย - เปิดใช้งาน application whitelisting เพื่อป้องกันการรัน executable ที่ไม่ได้รับอนุญาต และตรวจสอบ DLL ที่โหลดโดยแอปพลิเคชันที่มีลายเซ็นดิจิทัลเพื่อตรวจจับ sideloading
- พิจารณาใช้ EDR ที่มีความสามารถตรวจจับพฤติกรรม (behavioral detection) แทนการพึ่งพาลายเซ็นเพียงอย่างเดียว เนื่องจากมัลแวร์ mutate ทุก build
