สรุปสั้น
ทีม Microsoft Defender Security Research เปิดเผยรายละเอียดแคมเปญ Clipper malware บน Windows ที่โจมตีผู้ใช้มาตั้งแต่กุมภาพันธ์ 2569 มัลแวร์แพร่กระจายผ่านไฟล์ Windows Shortcut (LNK) ใน USB storage device โดยมี worm component ที่ตรวจสอบว่าเครื่องติดมัลแวร์แล้วหรือไม่ก่อนดาวน์โหลด payload จากเซิร์ฟเวอร์ สิ่งที่โดดเด่นคือมัลแวร์ใช้ Windows Script Host และ ActiveX เพื่อ deploy Tor client แบบ portable จากนั้นเชื่อมต่อ C2 ผ่าน Tor hidden service แทนการใช้ IP-based C2 ทั่วไป ทำให้ตรวจจับได้ยากกว่ามาก
มัลแวร์ตรวจจับ clipboard ทุก 500 มิลลิวินาทีเพื่อขโมย seed phrase และ private key ของ cryptocurrency wallet พร้อมแทนที่ wallet address ที่เหยื่อคัดลอกด้วย address ของผู้โจมตี นอกจากนี้ยังถ่ายภาพหน้าจอส่งผ่าน Tor และสามารถรันโค้ดจากระยะไกลได้หาก C2 ส่งคำสั่ง EVAL กลับมา ทำให้มัลแวร์ที่เริ่มต้นเป็น stealer กลายเป็น backdoor เต็มรูปแบบ worm component ยังแพร่กระจายไปยัง USB drive อื่นโดยซ่อนไฟล์เอกสารจริงแล้วสร้างไฟล์ LNK ที่มีชื่อเดียวกันแทน ทำให้ผู้ใช้ที่เปิดไฟล์เอกสารจาก USB โดยไม่สงสัยจะติดมัลแวร์ทันที
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 18 มิถุนายน พ.ศ. 2569 ว่าบริษัท Microsoft เปิดเผยรายละเอียดแคมเปญ Clipper malware บน Windows ที่โจมตีผู้ใช้มาตั้งแต่กุมภาพันธ์ 2569 ทีม Microsoft Defender Security Research ระบุว่ามัลแวร์ใช้ Windows Script Host และ ActiveX-driven logic เพื่อ launch Tor proxy แบบ bundled และ poll hidden-service C2 server ทำการขโมยข้อมูลจาก clipboard ด้วยความถี่สูง ถ่ายภาพหน้าจอส่งออก และแทนที่ wallet address ของ cryptocurrency
การโจมตีเริ่มจากไฟล์ LNK อันตรายใน USB storage device เมื่อเปิดจะ trigger worm component ที่ตรวจสอบว่าเครื่องติดมัลแวร์แล้วหรือไม่ หากยังไม่ติดจะดาวน์โหลด payload จากเซิร์ฟเวอร์ พร้อม deploy clipper module ที่ขโมยข้อมูล cryptocurrency wallet นอกจากนี้ LNK payload ยังสแกน USB drive เพื่อหาไฟล์เอกสารทั่วไปอย่าง DOC, XLSX และ PDF หากพบจะซ่อนไฟล์จริงแล้วสร้างไฟล์ LNK ใหม่ที่มีชื่อเดียวกัน ทำให้ผู้ใช้ที่เปิดไฟล์จาก USB โดยคิดว่าเป็นเอกสารปกติจะ trigger การรันมัลแวร์ทันที Microsoft แนะนำให้ผู้ดูแลระบบใช้ behavioral detection แทน static signature โดยเฉพาะการตรวจจับ PowerShell-based screen capture และการใช้ WScript, CScript หรือ script engine อื่นเพื่อ launch curl, cmd.exe, PowerShell หรือ executable ที่ผิดปกติ
วิธีการโจมตี
มัลแวร์ทำงานเป็น 3 ส่วนหลัก ส่วนแรกคือ worm component ที่แพร่กระจายผ่าน USB drive โดยตั้ง scheduled task เป็น persistence mechanism สำหรับทั้ง worm และ stealer component ส่วนที่สองคือ clipper ที่ใช้ WScript และ ActiveXObject เพื่อ interact กับระบบปฏิบัติการ โดยจะตรวจสอบว่า Task Manager ทำงานอยู่หรือไม่ หากพบจะหยุดทำงานเพื่อหลบการตรวจจับ ส่วนที่สามคือการเชื่อมต่อ C2 โดย launch Tor binary ที่เปลี่ยนชื่อไว้ใน hidden window สร้าง victim identifier เฉพาะแล้วลงทะเบียนกับเซิร์ฟเวอร์
เมื่อเชื่อมต่อ C2 สำเร็จ มัลแวร์จะเข้าสู่ continuous loop ที่ poll C2 เป็นระยะเพื่อรับคำสั่ง ขณะเดียวกันก็ตรวจจับ clipboard ทุก 500 มิลลิวินาทีเพื่อดัก seed phrase และ private key รวมถึงแทนที่ wallet address ที่เหยื่อคัดลอกด้วย address ของผู้โจมตี มัลแวร์ยังถ่ายภาพหน้าจอส่งผ่าน Tor และหาก C2 ส่งคำสั่ง EVAL กลับมา มัลแวร์จะรันโค้ดที่ผู้โจมตีส่งมาได้ทันที ทำให้ stealer กลายเป็น backdoor เต็มรูปแบบ
ผลกระทบต่อไทย
การใช้ USB drive ยังคงแพร่หลายในองค์กรไทย โดยเฉพาะในหน่วยงานรัฐ สถาบันการศึกษา และธุรกิจขนาดกลาง-เล็กที่อาจไม่มีนโยบายควบคุม removable media อย่างเข้มงวด มัลแวร์นี้เป็นอันตรายอย่างยิ่งเพราะซ่อนไฟล์เอกสารจริงแล้วสร้าง LNK ปลอมที่มีชื่อเดียวกัน ทำให้ผู้ใช้ทั่วไปแทบไม่มีทางสังเกตเห็นความผิดปกติ การที่มัลแวร์ใช้ Tor hidden service เป็น C2 ทำให้ network-based detection ตรวจจับได้ยากกว่า IP-based C2 ทั่วไป และการขโมย cryptocurrency wallet address เป็นภัยคุกคามโดยตรงต่อผู้ใช้ crypto ในไทยที่เพิ่มจำนวนขึ้นอย่างต่อเนื่อง
คำแนะนำ
ผู้ดูแลระบบควรปิด AutoRun/AutoPlay สำหรับ removable media ทั้งหมด block การรันไฟล์ LNK จาก removable drive ผ่าน Group Policy Objects (GPOs) และจำกัดการใช้ wscript.exe และ cscript.exe ที่ไม่จำเป็น ควรตรวจสอบ clipboard-related behavior และ screen-capture activity บนอุปกรณ์ที่จัดการ financial workflow ผู้ใช้ cryptocurrency ควรตรวจสอบ wallet address ที่วางจาก clipboard อย่างละเอียดทุกครั้งก่อนยืนยันธุรกรรม และหลีกเลี่ยงการใช้ USB drive จากแหล่งที่ไม่น่าเชื่อถือ
