สรุปสั้น
ทีมนักวิจัย GReAT ของบริษัท Kaspersky เผยแพร่รายงานเปิดโปงมัลแวร์เฟรมเวิร์กตัวใหม่ชื่อ OkoBot ที่แอบทำงานอยู่บนเครื่อง Windows มาตั้งแต่เดือนเมษายน 2568 โดยหนึ่งในโมดูลของมันถูกออกแบบมาเพื่อหลอกเอาวลีกู้คืน (recovery phrase หรือ seed phrase) ของเจ้าของกระเป๋าเงินคริปโตแบบฮาร์ดแวร์ (Hardware Wallet) โดยเฉพาะ จุดที่แยบยลคือคำขอให้กรอกวลีกู้คืนนั้นปรากฏขึ้นจากภายในซอฟต์แวร์กระเป๋าเงินของแท้ที่เหยื่อติดตั้งเอง บางครั้งมัลแวร์ยังรอจนกว่าเหยื่อจะเสียบอุปกรณ์ฮาร์ดแวร์เข้าเครื่องก่อนจึงแสดงหน้าปลอมขึ้นมา ทำให้ดูน่าเชื่อถืออย่างมาก เพราะแอปรอบๆ หน้านั้นเป็นของจริงทั้งหมด มีเพียงหน้าที่ขอวลีกู้คืนเท่านั้นที่เป็นของปลอม
ทีม GReAT นับจำนวนเหยื่อได้หลายร้อยรายใน telemetry ครอบคลุมกว่า 25 ประเทศ โดยกลุ่มผู้ใช้ที่ถูกโจมตีมากที่สุดอยู่ในบราซิล เวียดนาม แคนาดา เม็กซิโก และตุรกี OkoBot บรรจุเพย์โหลดและอิมแพลนต์มากกว่า 20 ตัว และยังคงเคลื่อนไหวอยู่จนถึงวันที่ออกรายงาน 15 กรกฎาคม 2569 นอกจากโมดูลขโมย seed phrase แล้ว ชุดเครื่องมือส่วนใหญ่ยังเป็นสปายแวร์สำหรับสอดแนม ทั้งบันทึกหน้าจอเป็นวิดีโอ ดักแป้นพิมพ์ ขโมยข้อมูลเบราว์เซอร์ และเปิดช่องทาง Remote Desktop (RDP) ลับให้ผู้โจมตีเข้าควบคุมเครื่องได้ ที่สำคัญคือมัลแวร์นี้ไม่ได้เจาะตัวอุปกรณ์ฮาร์ดแวร์วอลเล็ต แต่โจมตีที่ซอฟต์แวร์ประกอบบนเครื่องพีซีแทน จึงไม่มีช่องโหว่ (CVE) หรือแพตช์ของผู้ผลิตที่จะปิดช่องทางนี้ได้
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 15 กรกฎาคม 2569 อ้างอิงรายงานของทีม GReAT บริษัท Kaspersky ว่าโมดูลที่ชื่อ SeedHunter คือส่วนที่ทำหน้าที่ขโมย seed phrase เมื่อเฟรมเวิร์กลงเครื่องได้แล้ว มันจะเฝ้าดูซอฟต์แวร์ Trezor Suite, Ledger Wallet และ Ledger Live แล้วฉีดตัวเองเข้าไปในแอปที่พบ พร้อมเกี่ยว (hook) เข้ากับกลไกภายในของ Electron ที่แอปเหล่านั้นใช้ จากนั้นจะติดต่อไปยังเซิร์ฟเวอร์ควบคุม (C2) ที่ moonsand[.]store หากเซิร์ฟเวอร์ตั้งค่าสถานะ Wait ไว้ SeedHunter จะสแกนพอร์ต USB ตาม Vendor ID และ Product ID แล้วรอเงียบๆ จนกว่าจะมีการเสียบอุปกรณ์ Ledger หรือ Trezor ของจริง เมื่อนั้นจึงจะวาดหน้ากู้คืนที่ฝังไว้ในโค้ดขึ้นมา โดยมีเลย์เอาต์แยกตามแต่ละยี่ห้อ ส่วนกรณีที่ปิดสถานะ Wait หน้าปลอมจะปรากฏขึ้นทันที วลีที่เหยื่อพิมพ์จะถูกส่งไปยังคอนโซลของหน้านั้นเองภายใต้เครื่องหมาย @:app:print แล้วฟังก์ชันที่ถูก hook ไว้จะดักเก็บและส่งออกไปในรูปแบบ JSON พร้อมสำเนาที่เข้ารหัส RC4 หลุดไว้ในไฟล์ชั่วคราว
Kaspersky ระบุช่องทางแพร่กระจายหลัก 2 ทาง คือการล่อลวงแบบ ClickFix และซอฟต์แวร์ที่ถูกฝังโทรจันบน GitHub โดยคลังโค้ดที่ทีมวิเคราะห์นั้นโฆษณาว่าเป็นโปรแกรม SQL Server Management Studio (SSMS) แต่สิ่งที่ส่งมาให้จริงกลับเป็นโปรแกรม Audacity ซึ่งเป็นเครื่องมือตัดต่อเสียง ที่ถูกสร้างใหม่โดยฝังอิมแพลนต์อันตรายไว้ในไลบรารีตัวหนึ่ง คลังโค้ดนี้ติดอันดับต้นๆ ในการค้นหา SSMS และเปิดใช้งานตั้งแต่ปลายเดือนมีนาคมถึงมิถุนายน 2568 ทั้งสองเส้นทางจะรัน TookPS ซึ่งเป็น PowerShell downloader ที่ Kaspersky ติดตามมาตั้งแต่มีนาคม 2568 สมัยที่มันแฝงมากับหน้า DeepSeek ปลอม โดย TookPS จะติดตั้ง SSH เชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้โจมตี forward พอร์ตของ SSH daemon ในเครื่องออกไป แล้วรอ ต่อมาบอต SSH อัตโนมัติจะเชื่อมต่อกลับเข้ามาผ่านอุโมงค์ (tunnel) นั้น เพื่อสำรวจข้อมูลเครื่องอย่างละเอียด แล้วลากไฟล์กระเป๋าเงิน คุกกี้ โปรไฟล์เบราว์เซอร์ และข้อมูลรับรองออกไป
วิธีการโจมตี
หลังยึดเครื่องได้ บอตจะปิดการแจ้งเตือนของ Microsoft Defender ด้วยการเขียนค่าลงรีจิสทรี แล้วสร้างช่องทางเข้าถึงถาวรให้ตัวเอง โดยเปิดไฟร์วอลล์ให้เชื่อมต่อ RDP เข้ามาได้ เพิ่มบัญชีเข้ากลุ่ม Remote Desktop Users แทนที่ไฟล์ termsrv.dll ด้วยเวอร์ชันที่ถูกแก้ให้อนุญาต RDP หลายเซสชันพร้อมกัน และลงทะเบียน scheduled task ชื่อ Apple Sync ที่จะสร้างอุโมงค์ SSH ย้อนกลับสำหรับพอร์ต RDP ในเครื่องขึ้นใหม่ทุกชั่วโมง จากนั้นโมดูลต่างๆ จะถูกส่งเข้ามาผ่าน SFTP โดยมีตัวโหลดที่ถูกแพ็กด้วย VMProtect ชื่อ HDUtil เป็นคนรัน และสามารถยกระดับสิทธิ์แบบเงียบผ่านช่องโหว่ Windows RPC UAC bypass ที่ทีม Project Zero เคยบันทึกไว้ตั้งแต่ปี 2562
เพย์โหลดชุดสุดท้ายชื่อ Volume2 เป็นยูทิลิตี้โอเพนซอร์สที่พก protobuf.dll อันตรายมาด้วย เพื่อถอดรหัสและเริ่มเพย์โหลดตัวจริง คือ dispatcher ที่คอยดึงคำสั่งจาก C2 ทุก 20 วินาที Kaspersky กู้คืนปลั๊กอินมาได้ 5 ตัว ตัวหนึ่งเป็น process injector ที่ทำหน้าที่วาง SeedHunter เข้าตำแหน่ง ส่วนที่เหลือเป็นเครื่องมือสอดแนม ได้แก่ OkoSpyware ที่เฝ้าดูโปรแกรมกว่า 100 รายการ รวมถึง Exodus และ 1Password โดยจะถ่ายวิดีโอหน้าต่างที่ตรงเงื่อนไขเป็นไฟล์ MP4 ด้วย FFmpeg ที่แนบมา พร้อมบันทึกการกดแป้นพิมพ์ลงไปด้วย, MC Keylogger ที่ดักทั้งการพิมพ์ คลิปบอร์ด อุปกรณ์ USB และถ่ายภาพหน้าจอทุก 5 นาที และตัวโหลดที่ติดตั้งส่วนขยาย Chromium แบบซ่อนพร้อมสิทธิ์ครบทุกอย่าง ซึ่งตัวที่ติดตั้งจริงคือ Rilide สตีลเลอร์บน Chromium ที่กลุ่มผู้โจมตีที่พูดภาษารัสเซียใช้มาตั้งแต่เมษายน 2566 ทั้งนี้ Kaspersky ยังไม่ระบุตัวผู้อยู่เบื้องหลัง แต่พบสัญญาณอ่อนๆ ว่าเซิร์ฟเวอร์ตอบกลับด้วยข้อความว่างเมื่อถูกเรียกจาก IP รัสเซียและกลุ่ม CIS หน้าฟิชชิงมีคอมเมนต์ภาษารัสเซีย และ Rilide เคลื่อนไหวในฟอรัมภาษารัสเซียที่เข้าได้เฉพาะคำเชิญ
ผลกระทบต่อไทย
แม้เหยื่อที่ตรวจพบจะกระจุกตัวในบราซิล เวียดนาม แคนาดา เม็กซิโก และตุรกี แต่มัลแวร์ในกลุ่มขโมยคริปโตประเภทนี้ไม่ได้เจาะจงประเทศ และแพร่ผ่านช่องทางที่คนไทยเสี่ยงเจอได้ทั่วไป ทั้งการค้นหาซอฟต์แวร์ยอดนิยม (เช่น SSMS) แล้วเจอคลังโค้ดปลอมบน GitHub และการถูกล่อลวงแบบ ClickFix ที่หลอกให้คัดลอกคำสั่งไปรัน นักลงทุนคริปโตชาวไทยที่ใช้กระเป๋าเงินฮาร์ดแวร์อย่าง Ledger หรือ Trezor เป็นกลุ่มเสี่ยงโดยตรง เพราะจุดขายของอุปกรณ์เหล่านี้คือ seed phrase จะไม่มีวันออกจากตัวอุปกรณ์ แต่ OkoBot เลี่ยงจุดแข็งนี้ด้วยการหลอกให้เหยื่อพิมพ์วลีกู้คืนลงในซอฟต์แวร์บนพีซีแทน หากถูกขโมย seed phrase ไป ผู้โจมตีจะกู้กระเป๋าเงินขึ้นมาใหม่ในเครื่องตัวเองและโอนสินทรัพย์ออกได้ทั้งหมดโดยที่อุปกรณ์ฮาร์ดแวร์ป้องกันไม่ได้เลย
คำแนะนำ
ผู้ใช้กระเป๋าเงินฮาร์ดแวร์ควรจำหลักการสำคัญว่า ทั้ง Ledger และ Trezor ยืนยันว่าจะไม่มีวันขอให้พิมพ์ seed phrase หรือ recovery phrase ลงในซอฟต์แวร์บนคอมพิวเตอร์ หากมีหน้าใดขอวลีกู้คืน โดยเฉพาะหน้าที่โผล่ขึ้นมาทันทีหลังเสียบอุปกรณ์ ทั้งที่บนหน้าจอของตัวอุปกรณ์ไม่มีการร้องขอ ให้ถือว่าเป็นสัญญาณของการถูกโจมตีทันที ควรดาวน์โหลดซอฟต์แวร์กระเป๋าเงินจากเว็บไซต์ทางการเท่านั้น หลีกเลี่ยงการโหลดโปรแกรมจากคลัง GitHub ที่ไม่เป็นทางการ และระวังการล่อลวงแบบ ClickFix ที่หลอกให้คัดลอกคำสั่งไปรันใน Run หรือ PowerShell สำหรับผู้ดูแลระบบ ควรไล่ล่าร่องรอย (hunt) ตามตัวชี้วัดที่เฉพาะเจาะจงของ OkoBot ตามตารางด้านล่าง
Indicators of Compromise (IoCs)
หมายเหตุ: โดเมน C2 ถูกทำ defang (แทน
.ด้วย[.]) เพื่อความปลอดภัย ห้ามคลิกหรือเข้าถึงโดยตรง
| ประเภท | ตัวชี้วัด | คำอธิบาย |
|---|---|---|
| Domain (C2) | moonsand[.]store | เซิร์ฟเวอร์ควบคุมของโมดูล SeedHunter |
| Scheduled Task | Apple Sync | งานตั้งเวลาที่สร้างอุโมงค์ SSH ย้อนกลับสำหรับพอร์ต RDP ทุกชั่วโมง |
| File | %PROGRAMDATA%\hwid.dat | ไฟล์ที่มัลแวร์วางไว้ |
| File | %PROGRAMDATA%\HDVideo\HDUtil.exe | ตัวโหลดที่ถูกแพ็กด้วย VMProtect |
| File | %USERPROFILE%.ssh\go.bat | สคริปต์ที่เกี่ยวข้องกับอุโมงค์ SSH |
| File (แก้ไข) | termsrv.dll | ถูกแทนที่ด้วยเวอร์ชันที่อนุญาต RDP หลายเซสชัน |
| พฤติกรรม | บัญชีแปลกใน Remote Desktop Users | บัญชีที่ไม่มีใครเพิ่มปรากฏในกลุ่ม |
| พฤติกรรม | ทราฟฟิก SSH ขาออกจากเครื่องผู้ใช้ | การเชื่อมต่อ SSH ออกจาก endpoint ผู้ใช้ทั่วไป |
| Registry/ไฟล์ | ส่วนขยายใน Local Extension Settings | ส่วนขยาย Chromium ที่ไม่ปรากฏในรายการส่วนขยายของเบราว์เซอร์ |
