สรุปสั้น
นักวิจัยจากบริษัท Check Point Research เปิดเผยแคมเปญมัลแวร์ขนาดใหญ่ที่ใช้กลยุทธ์สร้างชื่อเสียงปลอมข้ามหลายแพลตฟอร์มเพื่อแพร่กระจาย crypto clipper ซึ่งเป็นมัลแวร์ที่แอบเปลี่ยนที่อยู่กระเป๋าเงินคริปโตในคลิปบอร์ดของเหยื่อเป็นของผู้โจมตี แคมเปญนี้ซ่อนมัลแวร์ไว้ใน Solana sniper bot และเครื่องมือทำนายเกมพนันออนไลน์ แล้วโปรโมตผ่านโพสต์จ่ายเงินบนเว็บข่าว โปรเจกต์ GitHub และ SourceForge ที่มีบัญชีปลอมกดดาวและ fork รวมถึงช่อง YouTube ที่มีผู้ติดตามกว่า 91,000 คนพร้อมวิดีโอสอนที่ใช้ผู้บรรยาย AI
สิ่งที่โดดเด่นของแคมเปญนี้คือการใช้ Ghost Network วางระบบคอมเมนต์และโหวตปลอมบน VirusTotal เพื่อทำให้ไฟล์มัลแวร์ถูกจัดประเภทว่าปลอดภัย รวมถึงการใช้บริการ EIN Presswire เผยแพร่ข่าวประชาสัมพันธ์เกี่ยวกับความสามารถของเครื่องมือ ซึ่งถูก syndicate ไปยังเว็บข่าวพันธมิตรรวมถึงเครือข่าย USA TODAY มัลแวร์ตัวนี้เขียนด้วยภาษา Rust โจมตีได้ทั้ง Windows และ macOS โดยเฝ้าดูคลิปบอร์ดตลอดเวลาและสลับที่อยู่กระเป๋าเงินทันทีที่ตรวจพบ pattern ที่ตรงกัน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 17 มิถุนายน พ.ศ. 2569 ว่าบริษัท Check Point Research ค้นพบแคมเปญเผยแพร่มัลแวร์ประเภท cryptocurrency clipboard hijacker ที่ใช้กลยุทธ์สร้างระบบนิเวศชื่อเสียงปลอม (fake reputation economy) ครอบคลุมหลายแพลตฟอร์มพร้อมกัน ผู้โจมตีที่ยังไม่ทราบตัวตนดำเนินการผ่านหน้าฟิชชิง WordPress เป็นศูนย์กลาง พร้อมโปรเจกต์บน GitHub อย่างน้อย 6 บัญชีที่ cross-promote กันเอง โดยบัญชีหนึ่งมียอดดาวถึง 146 ดวงและ fork 62 ครั้ง บน SourceForge ตัวนับดาวน์โหลดพุ่งถึง 44,485 ครั้ง แต่ 37,460 ครั้งอ้างว่ามาจากอุปกรณ์ Android ทั้งที่ซอฟต์แวร์รองรับเฉพาะ Windows และ macOS ซึ่งบริษัท Check Point สันนิษฐานว่าใช้ Android farm ปั่นยอดดาวน์โหลด
ช่อง YouTube ที่ใช้โปรโมตถูกสร้างตั้งแต่กรกฎาคม 2020 มีผู้ติดตามกว่า 91,000 คน โดยวิดีโอสอนใช้ผู้บรรยายที่สร้างด้วย AI พร้อมคอมเมนต์เชิงบวกเพื่อเสริมภาพลักษณ์ความน่าเชื่อถือ นอกจากนี้ผู้โจมตียังใช้บริการ EIN Presswire เผยแพร่ข่าวประชาสัมพันธ์เกี่ยวกับความสามารถของเครื่องมือ ซึ่งถูก syndicate ไปยังเว็บข่าวพันธมิตรของบริการดังกล่าว รวมถึงเครือข่าย USA TODAY จุดอันตรายที่สุดคือการใช้ Ghost Network วางระบบโหวตและคอมเมนต์ปลอมบน VirusTotal เพื่อจัดประเภทไฟล์มัลแวร์ว่าปลอดภัย ทำให้เหยื่อที่ตรวจสอบไฟล์ก่อนดาวน์โหลดเชื่อว่าไม่มีอันตราย
วิธีการโจมตี
มัลแวร์ crypto clipper ในแคมเปญนี้เขียนด้วยภาษา Rust สามารถทำงานได้ทั้งบน Windows และ macOS หลังจากเหยื่อดาวน์โหลดและติดตั้งซอฟต์แวร์ที่อ้างว่าเป็น Solana sniper bot, Pump.fun sniper bot หรือเครื่องมือทำนายผลเกมพนันออนไลน์ (crash-game predictor) มัลแวร์จะทำงานเบื้องหลังโดยเฝ้าดูคลิปบอร์ดของระบบตลอดเวลา เมื่อตรวจพบข้อความที่ตรงกับ pattern ของที่อยู่กระเป๋าเงินคริปโต มัลแวร์จะเปลี่ยนที่อยู่นั้นเป็นที่อยู่กระเป๋าเงินของผู้โจมตีที่ดึงมาจากรายการ hard-code ไว้ในตัวมัลแวร์ ทำให้เมื่อเหยื่อวางที่อยู่กระเป๋าเงินเพื่อโอนคริปโต เงินจะถูกส่งไปยังผู้โจมตีแทน
สิ่งที่ทำให้แคมเปญนี้แตกต่างจากมัลแวร์ทั่วไปคือระบบสร้างความน่าเชื่อถือแบบข้ามแพลตฟอร์ม ผู้โจมตียืมกลยุทธ์เดียวกับที่แบรนด์ถูกกฎหมายใช้สร้างกระแส ได้แก่ ปั่นยอดดาวน์โหลด รีวิว 5 ดาวแบบประสานงาน วิดีโอสอนสไตล์ influencer และโปรโมตบนแพลตฟอร์มที่คนทั่วไปเชื่อถือ บริษัท Check Point เตือนว่ากลยุทธ์เดียวกันนี้สามารถนำไปใช้แพร่กระจาย information stealer หรือ ransomware ที่มีเป้าหมายสูงกว่าได้ในอนาคต
ผลกระทบต่อไทย
ผู้ใช้คริปโตเคอร์เรนซีในไทยที่ค้นหาเครื่องมือเทรดหรือ sniper bot บนแพลตฟอร์มอย่าง GitHub, SourceForge และ YouTube อาจตกเป็นเหยื่อของแคมเปญนี้ได้โดยตรง เนื่องจากมัลแวร์ถูกโปรโมตผ่านช่องทางที่นักพัฒนาและนักลงทุนไทยใช้ประจำ และการตรวจสอบไฟล์ผ่าน VirusTotal ซึ่งเป็นวิธีที่คนไทยจำนวนมากใช้ตรวจมัลแวร์ก็ถูกบิดเบือนด้วยคอมเมนต์ปลอม นอกจากนี้การที่มัลแวร์ทำงานได้ทั้ง Windows และ macOS ทำให้ครอบคลุมผู้ใช้ทุกแพลตฟอร์มในไทย
คำแนะนำ
ผู้ใช้คริปโตเคอร์เรนซีควรตรวจสอบที่อยู่กระเป๋าเงินอย่างละเอียดทุกครั้งก่อนยืนยันการโอน โดยเปรียบเทียบตัวอักษรหลายตำแหน่งไม่ใช่แค่ตัวแรกและตัวสุดท้าย ควรหลีกเลี่ยงการดาวน์โหลดเครื่องมือเทรดจากแหล่งที่ไม่รู้จัก แม้จะมีรีวิวดีหรือยอดดาวน์โหลดสูง อย่าเชื่อผล VirusTotal เพียงอย่างเดียว ควรใช้ sandbox หรือเครื่องมือวิเคราะห์มัลแวร์เพิ่มเติม และระวังวิดีโอ YouTube ที่ใช้ผู้บรรยาย AI โปรโมตเครื่องมือ crypto เนื่องจากอาจเป็นส่วนหนึ่งของแคมเปญมัลแวร์
