นักวิจัยด้านความปลอดภัยจาก Bitdefender ซึ่งเป็นบริษัทที่ประกอบธุรกิจด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่การค้นพบมัลแวร์ตัวใหม่ที่ได้รับการขนานนามว่า “BHUNT” โดยลักษณะเป็นมัลแวร์ขโมยเงินดิจิทัลเหมือน CryptBot , Redline Stealer และ WeSteal และเหยื่อส่วนมากโดนเพราะเปิดแอคติเวทคีย์ Windows 10 อย่างผิดกฎหมายผ่านโปรแกรม “KMSPico”
ข้อมูลจาก Bitdefender ระบุว่า “BHUNT” เป็นมัลแวร์ที่มีจุดมุ่งหมายคือสกุลเงินดิจิทัลของเหยื่อ มันสามารถขโมยข้อมูล “Seed Phrases” หรือรหัสลับกระเป๋าเงินดิจิทัลของเหยื่อบนเว็บเบราว์เซอร์หรือใน Clipboard ได้และส่งกลับไปให้แฮกเกอร์เปิดใช้กระเป๋าเงินนั้นเพื่อทำการขโมยเงินออกมา
อย่างไรก็ดีจุดเด่นของ “BHUNT” เป็นมัลแวร์ที่มีรูปแบบสถาปัตยกรรมแบบ Modular หรือแยกส่วนเป็นองค์ประกอบย่อย ๆ เพื่อทำหน้าที่ที่ต่างกัน และนำมาประกอบเป็นมัลแวร์ตัวเดียว นั่นทำให้ความสามารถของ Malware ตัวนี้มีความหลากหลายและอันตรายมากทีเดียว
โดยมันจะทำการฝังตัวไว้ในไฟล์ “explorer.exe” ซึ่งเป็นไฟล์ระบบหลักของระบบปฏิบัติการ Windows ซึ่งคาดว่าถูกติดตั้งโดยที่เหยื่อไปดาวน์โหลดโปรแกรม “KMSPico” ที่เป็นยูทิลิตี้ยอดนิยมสำหรับการ Crack โปรแกรมของ Microsoft และได้เปิดแอคติเวทคีย์ระบบปฏิบัติการ Windows อย่างผิดกฎหมาย
ขณะที่ตอนนี้มัลแวร์ “BHUNT” ได้แพร่กระจายไปยังผู้ใช้งานหลายประเทศแล้ว และแผนที่ดังต่อไปนี้จะแสดงระดับความเข้มข้นของการพบมัลแวร์ตัวนี้ ซึ่งแสดงให้เห็นเลยว่าในประเทศไทยก็มีคนโดนไปเหมือนกัน ส่วนในอินเดียมีสีเข้มสุดถือว่าพบเยอะมาก ๆ
ภาพจาก https://www.bleepingcomputer.com/news/security/new-bhunt-malware-targets-your-crypto-wallets-and-passwords/
ส่วนด้านล่างนี้ก็คือการทำงานของ “BHUNT” โดยชี้ให้เห็นว่าหลังจากฝังตัวในไฟล์ explorer.exe มันก็จะค่อย ๆ รันไฟล์ที่ทำให้เครื่องติดไวรัสไปเรื่อย ๆ โดยมีไฟล์หลักคือ “mscrib.exe” ที่มันใช้รันโมดูลการทำงาน ซึ่งโมดูลแต่ละอันก็จะมีหน้าที่ต่างกันไปอย่างที่กล่าวไว้ข้างต้น
ภาพจาก https://www.bleepingcomputer.com/news/security/new-bhunt-malware-targets-your-crypto-wallets-and-passwords/
blacjack : มีหน้าที่ขโมยเนื้อหาไฟล์กระเป๋าสกุลเงินดิจิทัล เข้ารหัสด้วยฐาน 64 และอัปโหลดไปยังเซิร์ฟเวอร์ควบคุม (C2 server)
chaos_crew : มีหน้าที่ใช้ดาวน์โหลด Payload
golden7 : มีหน้าที่ขโมยรหัสผ่านจาก clipboard และอัปโหลดไปยังเซิร์ฟเวอร์ควบคุม (C2 server)
Sweet_Bonanza : มีหน้าที่ขโมยข้อมูลจากโปรแกรม เว็บเบราว์เซอร์ ต่างๆ (Chrome , IE , Firefox , Opera , Safari)
mrpropper : มีหน้าที่กลบร่องรอยไม่ให้โปรแกรมตรวจจับได้
เป้าหมายสกุลเงินที่โดนไปแล้วประกอบด้วย Exodus , Electrum , Atomic , Jaxx , Ethereum , Bitcoin , และ Litecoin.
ภาพนี้เป็นโค้ดของโมดูล Blackjack ที่ตรวจพบโดยนักวิจัย
อย่างไรก็ดีนักวิจัยเตือนว่าแม้มัลแวร์เหล่านี้จะมีเป้าหมายเป็นกระเป๋าเงินดิจิทัล แต่ข้อมูลที่ได้ไปไม่ใช่แค่ข้อมูลกระเป๋าเงินอย่างเดียว แต่รวมถึงรายการ Password ที่ผู้ใช้งานล็อกอินเข้าเว็บไซต์ต่าง ๆ ไม่ว่าจะเป็น Facebook , ธนาคาร หรือ เว็บไซต์อะไรก็ตาม ซึ่งหากแฮกเกอร์คิดจะทำอะไรกับของเหล่านั้น แน่นอนว่าความเสียหายประเมินแทบไม่ได้เลย
ทั้งนี้เพื่อหลีกเลี่ยงไม่ให้ “BHUNT” เข้ามาก่อกวนในคอมพิวเตอร์ของคุณ ควรหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์ โดยเฉพาะโปรแกรมยูทิลิตี้ (Utility Software) ที่ระบุมาข้างต้นอย่าง KMSPico เพื่อจะได้ไม่ตกเป็นเหยื่อของแฮกเกอร์อีก
ข้อมูลโดย : thaiware
ที่มา : ผู้จัดการออนไลน์ / วันที่เผยแพร่ 23 ม.ค.2565
Link : https://mgronline.com/stockmarket/detail/9650000007435
