นักวิจัยด้านความปลอดภัยไซเบอร์จาก Fortinet’s FortiGuard Labs ออกมาเตือนถึงภัยคุกคามจากมัลแวร์ตัวใหม่ชื่อว่า Stealit ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูล (infostealer) ที่ให้บริการในรูปแบบ Malware-as-a-Service (MaaS) และกำลังถูกโจมตีอย่างต่อเนื่องในระบบ Windows
วิธีการแฝงตัวแบบใหม่ ใช้ Node.js SEA
กลุ่มผู้พัฒนา Stealit ได้ใช้เทคนิคใหม่โดยอาศัยคุณสมบัติที่เรียกว่า SEA (Single Executable Application) ซึ่งเป็นฟีเจอร์หนึ่งในแพลตฟอร์ม Node.js โดยช่วยให้สามารถรวมไฟล์มัลแวร์ทั้งหมดไว้ในไฟล์เดียว และสามารถรันได้ทันทีโดยไม่ต้องติดตั้ง Node.js บนเครื่องเป้าหมาย
จากเดิมที่เคยใช้เครื่องมือ Electron แต่ตอนนี้คอนเวิร์ตมาใช้ SEA เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย พร้อมทั้งซ่อนโค้ดและใช้เทคนิคต่อต้านการวิเคราะห์อย่างซับซ้อน เช่น ตรวจสอบว่าเครื่องที่รันอยู่ในสภาพแวดล้อมเสมือน (VM) หรือมีเครื่องมือ Debug เปิดอยู่หรือไม่
รูปแบบการหลอก และการกระจายตัว
- มัลแวร์ Stealit ถูกซ่อนไว้ในไฟล์ติดตั้งเกมหรือแอป VPN ปลอม ที่ถูกอัปโหลดไว้ในแพลตฟอร์มดาวน์โหลดไฟล์อย่าง Mediafire และ Discord
- เมื่อเหยื่อติดตั้งไฟล์เหล่านี้ มัลแวร์จะเข้าควบคุมเครื่องและขโมยข้อมูลส่วนตัว เช่น รหัสผ่าน และกระเป๋าเงินคริปโต
ฟีเจอร์ที่มัลแวร์สามารถทำได้
- ขโมยไฟล์จากเครื่อง
- ปล่อยแรนซัมแวร์
- ดูหน้าจอแบบ Live และควบคุมกล้องเว็บแคม
- สั่งปิด/รีสตาร์ทเครื่อง
- ส่งการแจ้งเตือนปลอมมายังผู้ใช้
วางจำหน่ายเป็นบริการเชิงพาณิชย์
กลุ่มผู้พัฒนา Stealit เปิดให้เช่าใช้งานมัลแวร์นี้ในรูปแบบบริการ พร้อมราคาชัดเจน:
- $500 สำหรับรุ่น Windows
- $2,000 สำหรับรุ่น Android
และยังมีการเปลี่ยนโดเมนเซิร์ฟเวอร์ควบคุม (C2) จาก stealituptaded.lol ไปเป็น iloveanimals.shop เพื่อหลีกเลี่ยงการตรวจจับ
ผู้ใช้เกมเมอร์ – เป้าหมายหลักของโจรไซเบอร์
Trey Ford ผู้บริหารจาก Bugcrowd ชี้ว่า เกมเมอร์มักใช้อุปกรณ์ที่มีสมรรถนะสูง และมักจะติดตั้งซอฟต์แวร์จากแหล่งที่ไม่เป็นทางการเพื่อเสริมประสิทธิภาพในการเล่นเกม ซึ่งกลายเป็นจุดอ่อนให้โจรไซเบอร์แฝงตัวเข้ามาได้ง่าย
และเมื่ออุปกรณ์เหล่านี้ถูกใช้ทั้งในงานและเล่นเกม การเข้าถึงเครือข่ายระบบงานก็จะเกิดขึ้น ทำให้กลายเป็นช่องโหว่อีกขั้น
ข้อควรระวัง
ผู้ใช้งานควรระมัดระวังเป็นพิเศษเมื่อต้องดาวน์โหลดหรือติดตั้งซอฟต์แวร์จากแหล่งที่ไม่เป็นทางการ โดยเฉพาะไฟล์ติดตั้งของเกมหรือแอป VPN ที่อาจถูกใช้เป็นเครื่องมือแพร่กระจายมัลแวร์อย่าง Stealit
แคมเปญนี้ชี้ให้เห็นถึงความสามารถของผู้ไม่หวังดีที่สามารถปรับตัวและนำฟีเจอร์จากซอฟต์แวร์จริงมาใช้ในทางที่ผิด จนกลายเป็น ภัยเงียบบนโลกออนไลน์ นักใช้งานต้องไม่ประมาทเป็นอันขาด
