สรุปสั้น

บริษัท McAfee Labs เปิดเผยแคมเปญมัลแวร์ขโมยคริปโตเคอร์เรนซีรูปแบบใหม่ชื่อ Silent Swap ที่ใช้ส่วนขยายเบราว์เซอร์ปลอมแอบอ้างเป็น “Google Notes” ติดตั้งบนเบราว์เซอร์ตระกูล Chromium เช่น Chrome, Edge, Brave และ Vivaldi เมื่อผู้ใช้คัดลอกที่อยู่กระเป๋าเงินคริปโตเพื่อทำธุรกรรม มัลแวร์จะสลับที่อยู่เป็นของผู้โจมตีอย่างเงียบๆ ทำให้เงินถูกโอนไปยังบัญชีผิดโดยไม่รู้ตัว และเนื่องจากธุรกรรมบนบล็อกเชนส่วนใหญ่ไม่สามารถย้อนกลับได้ เหยื่อจึงสูญเสียเงินอย่างถาวร

สิ่งที่ทำให้ Silent Swap แตกต่างจากมัลแวร์ขโมยคริปโตทั่วไปคือการใช้เทคนิค EtherHiding ที่อาศัยบล็อกเชนเป็นตัวกลางดึงข้อมูลเซิร์ฟเวอร์ควบคุม (C2) แทนการฝังโดเมนตายตัวในโค้ด และยังใช้ระบบแมปที่อยู่กระเป๋าเงินแบบ 1 ต่อ 1 ฝั่งเซิร์ฟเวอร์ ทำให้ตรวจจับด้วยวิธีวิเคราะห์แบบ static ได้ยากขึ้นมาก ข้อมูลเทเลเมตรีระบุว่าพบผู้ติดมัลแวร์กระจายทั่วโลก โดยมีความหนาแน่นสูงสุดในอินเดีย สหรัฐอเมริกา บราซิล อินโดนีเซีย และสเปน

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 30 มิถุนายน พ.ศ. 2569 ว่าบริษัท McAfee Labs ได้เผยแพร่รายงานทางเทคนิคเกี่ยวกับแคมเปญมัลแวร์ประเภท Crypto Clipper ที่ตั้งชื่อว่า Silent Swap ซึ่งมุ่งเป้าขโมยคริปโตเคอร์เรนซีจากผู้ใช้เบราว์เซอร์ตระกูล Chromium

แคมเปญนี้แพร่กระจายผ่านตัวติดตั้งที่ไม่ได้ลงนามดิจิทัล (unsigned installers) ซึ่งมีทั้งเวอร์ชัน .NET และ Golang โดยตัวติดตั้งชื่อ BaseZipInstaller จะดาวน์โหลดไฟล์ ZIP ที่บรรจุส่วนขยายเบราว์เซอร์อันตราย จากนั้นสแกนหาเบราว์เซอร์ตระกูล Chromium ในเครื่อง บังคับปิดโปรเซสเบราว์เซอร์ และฉีดส่วนขยายเข้าไปโดยแก้ไขไฟล์ Secure Preferences และ Preferences โดยตรง ทำให้สามารถติดตั้งได้โดยไม่ผ่านกระบวนการติดตั้งปกติจาก Chrome Web Store และไม่ต้องได้รับอนุญาตจากผู้ใช้

บริษัท McAfee Labs ระบุว่าแคมเปญนี้มีความเชื่อมโยงกับแคมเปญ CountLoader ที่เคยแพร่กระจาย crypto clipper มาก่อน และหลักฐานชี้ว่าเป็นผู้คุกคามกลุ่มเดียวกัน ช่องทางการแพร่กระจายเบื้องต้นรวมถึงไฟล์แนบอีเมลฟิชชิง โปรแกรมแคร็กเกม และเทคนิค social engineering อื่นๆ

นอกจากนี้ยังมีการค้นพบส่วนขยายเบราว์เซอร์อันตรายอีกคู่หนึ่งชื่อ “VPN Go: Free VPN” ทั้งบน Chrome Web Store และ Firefox Add-ons ที่แฝงฟังก์ชันขโมยข้อมูลคลิปบอร์ดไว้ โดยนักวิจัยจากบริษัท Socket พบว่าส่วนขยายทั้งสองเริ่มต้นเป็นเวอร์ชันปกติก่อนจะเพิ่มความสามารถขโมยคลิปบอร์ดผ่านการอัปเดตในภายหลัง สามารถดูดข้อมูลรหัสผ่าน API key, OAuth token และ seed phrase ส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี

วิธีการโจมตี

มัลแวร์ Silent Swap ใช้เทคนิคหลายชั้นเพื่อหลบเลี่ยงการตรวจจับและคงอยู่ในระบบ ในส่วนการติดตั้งแบบซ่อนเร้น มัลแวร์คำนวณค่า hash/HMAC ใหม่หลังจากแก้ไขไฟล์การตั้งค่าเบราว์เซอร์ ทำให้เบราว์เซอร์เข้าใจผิดว่าส่วนขยายถูกติดตั้งอย่างถูกต้อง สำหรับ Brave และ Opera มัลแวร์จะพยายามเปิด developer mode โดยอัตโนมัติเพื่อให้โหลดส่วนขยายได้ และตัวติดตั้งจะลบตัวเองหลังทำงานเสร็จเพื่อลบร่องรอย

ในส่วนของเทคนิค EtherHiding มัลแวร์ใช้บล็อกเชนเป็น dead drop resolver โดยอ่านค่าจาก smart contract เพื่อดึงที่อยู่เซิร์ฟเวอร์ C2 ล่าสุด ผู้โจมตีสามารถอัปเดตโดเมน C2 ได้ง่ายๆ ด้วยการแก้ค่าใน smart contract โดยไม่ต้องปล่อยมัลแวร์เวอร์ชันใหม่ ทำให้โครงสร้างพื้นฐานทนทานต่อการ takedown

การสลับที่อยู่กระเป๋าเงินทำงานแบบไดนามิก เมื่อตรวจพบที่อยู่ที่ตรงกับรูปแบบ Bitcoin (BTC), Ethereum, Bitcoin Cash, Ripple หรือ Dash ส่วนขยายจะส่งที่อยู่ไปยังเซิร์ฟเวอร์ฝั่งหลังและรับที่อยู่ของผู้โจมตีกลับมาแทน โดยใช้ระบบแมปแบบ 1 ต่อ 1 ที่แต่ละที่อยู่เหยื่อจะถูกจับคู่กับที่อยู่ผู้โจมตีที่ไม่ซ้ำกัน สำหรับ Solana ทุกที่อยู่จะถูกเปลี่ยนไปยังที่อยู่เดียวกัน ซึ่ง ณ ขณะรายงานพบว่ามียอดคงเหลืออยู่ 1,902.45 ดอลลาร์สหรัฐ หากเซิร์ฟเวอร์ไม่ตอบสนอง มัลแวร์จะใช้ที่อยู่สำรองที่ฝังไว้ในโค้ดแทน

ผลกระทบต่อไทย

ประเทศไทยมีจำนวนผู้ใช้คริปโตเคอร์เรนซีเติบโตอย่างต่อเนื่อง โดยเฉพาะ Bitcoin และ Ethereum ซึ่งเป็นเป้าหมายหลักของมัลแวร์ตัวนี้ ผู้ใช้ที่ติดตั้งซอฟต์แวร์จากแหล่งไม่น่าเชื่อถือหรือดาวน์โหลดโปรแกรมแคร็กมีความเสี่ยงสูงที่จะติดมัลแวร์ นอกจากนี้การที่มัลแวร์รองรับเบราว์เซอร์หลายตัวรวมถึง Chrome และ Edge ที่นิยมใช้ในไทย ทำให้มีฐานผู้ใช้ที่อาจได้รับผลกระทบจำนวนมาก การที่ส่วนขยายอันตราย “VPN Go: Free VPN” เคยอยู่บน Chrome Web Store อย่างเป็นทางการยิ่งเพิ่มความเสี่ยง เพราะผู้ใช้มักเชื่อมั่นว่าส่วนขยายจากสโตร์อย่างเป็นทางการปลอดภัย

คำแนะนำ

  • ตรวจสอบส่วนขยายเบราว์เซอร์ที่ติดตั้งอยู่ หากพบ “Google Notes” หรือ “VPN Go: Free VPN” ให้ลบออกทันทีและถือว่าข้อมูลที่เคยคัดลอกขณะติดตั้งส่วนขยายถูกบุกรุกแล้ว
  • หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะโปรแกรมแคร็กและตัวติดตั้งที่ไม่ได้ลงนามดิจิทัล
  • ตรวจสอบที่อยู่กระเป๋าเงินปลายทางทุกครั้งก่อนยืนยันธุรกรรมคริปโต โดยเปรียบเทียบอักขระทั้งหมดไม่ใช่แค่ตัวแรกและตัวสุดท้าย
  • พิจารณาใช้ hardware wallet หรือแอปพลิเคชันกระเป๋าเงินที่แสดงที่อยู่ปลายทางบนหน้าจออุปกรณ์แยกต่างหากก่อนยืนยัน
  • ปิด developer mode บนเบราว์เซอร์เมื่อไม่จำเป็นต้องใช้งาน

แหล่งอ้างอิง