ระวังมัลแวร์ขโมยข้อมูล New Torg Grabber
ระวังมัลแวร์ขโมยข้อมูล New Torg Grabber มุ่งหน้าขโมยเงินจากกระเป๋าคริปโตมากกว่า 700 เจ้า
ถึงแม้วงการคริปโตเคอร์เรนซี (Cryptocurrency) ในช่วงนี้จะมีความผันผวนอย่างหนักก็ตาม แต่มัลแวร์ที่มุ่งเน้นในการขโมยเงินคริปโตเคอร์เรนซีนั้นก็ยังคงเป็นที่นิยมอยู่ โดยเฉพาะมัลแวร์ตัวนี้ที่มีความสามารถในการขโมยกระเป๋าเงิน (Wallet) ได้มากถึง 700 กระเป๋าจากหลากผู้พัฒนาเลยทีเดียว
จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ Torg Grabber ซึ่งเป็นมัลแวร์ประเภทมุ่งเน้นขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่แพร่กระจายด้วยวิธีการใช้การแจ้งเตือนข้อผิดพลาดปลอมเพื่อหลอกให้เหยื่อติดตั้งมัลแวร์ผ่านทางเว็บไซต์ หรือ ClickFix โดยจากการตรวจสอบของทีมวิจัยจาก Gen Digital บริษัทผู้เชี่ยวชาญด้านการพัฒนาซอฟต์แวร์ด้านความปลอดภัยไซเบอร์ พบว่ามัลแวร์ตัวนี้มีความสามารถที่ร้ายกาจ เนื่องจากสามารถขโมยข้อมูลได้จาก
เว็บเบราว์เซอร์ที่สร้างขึ้นบนพื้นฐานของ Chromium ถึง 25 เว็บเบราว์เซอร์
โดยตัวมัลแวร์จะมีความสามารถในการฝ่าระบบรักษาความปลอดภัยบนตัวแอปพลิเคชัน หรือ App-Bound Encryption (ABE)
มีความสามารถในการยิง ตัว DLL (DLL Injection) ลงไปยังตัวเว็บเบราว์เซอร์เพื่อขโมยกุญแจเข้ารหัส (Encryption Key) �จาก COM Elevation Service ของ Chrome
เว็บเบราว์เซอร์ที่สร้างขึ้นบนพื้นฐานของ Firefox จำนวน 8 เว็บเบราว์เซอร์
ส่วนเสริมของเว็บเบราว์เซอร์มาถึง 850 ตัว
จากจำนวนนี้ จะเป็นส่วนเสริมที่ทำหน้าที่เป็นกระเป๋าเงินคริปโตมากถึง 728 ตัว หรือเรียกได้ว่าครอบคลุมกระเป๋าเกือบทุกใบที่มีอยู่ในตลาด เช่น MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, และ Solflare เป็นต้น
ซอฟต์แวร์จัดการรหัสผ่าน (Password Manager) มากถึง 103 ตัว โดยครอบคลุม LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, Psono, Pleasant Password Server, heylogin, 2FAAuth, GAuth, TOTP Authenticator, และ Akamai MFA เป็นต้น
แอปพลิเคชันสำหรับการจดโน้ต (Note-Taking) จำนวน 19 ตัว
แอปพลิเคชันยอดนิยมอื่น ๆ หลากประเภท เช่น Discord, Telegram, Steam, แอป VPN, แอป FTP, และ แอป Email Clients เป็นต้น
นอกจากนั้นยังมีความสามารถต่าง ๆ อีกมากมายไม่ว่าจะเป็นการเข้าขโมยข้อมูลเกี่ยวกับระบบ, สร้างข้อมูลระบุอัตลักษณ์ของฮาร์ดแวร์ (Hardware Fingerprints), การรวบรวมรายชื่อของซอฟต์แวร์ทั้งหมดที่ติดตั้งอยู่บนเครื่อง, การแอบบันทึกหน้าจอเครื่อง, และ ขโมยข้อมูลจากโฟลเดอร์ต่าง ๆ เครื่องของเหยื่อ ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีความสามารถในการรันโค้ดแบบ Shellcode ที่จะถูกส่งมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในรูปแบบไฟล์เข้ารหัสแบบ Cha-Cha ได้อีกด้วย เรียกได้ว่าเป็นมัลแวร์ที่มีความสามารถอันร้ายกาจ ที่ผู้อ่านทุกคนต้องระมัดระวังตัวไว้ให้ดี
จากประสบการณ์ส่วนตัวและการติดตามข่าวสารด้านไซเบอร์ซีเคียวริตี้ พบว่า New Torg Grabber เป็นหนึ่งในมัลแวร์ประเภท Infostealer ที่มีความซับซ้อนและอันตรายมาก เพราะไม่เพียงแต่ขโมยเงินในกระเป๋าคริปโต แต่ยังสามารถขโมยข้อมูลสำคัญจากแอปและส่วนเสริมในเบราว์เซอร์ถึง 850 ตัว ซึ่งส่วนใหญ่เป็นกระเป๋าเงินคริปโตที่นิยมใช้กันในตลาด เช่น MetaMask หรือ TrustWallet สิ่งที่ควรระวังเป็นพิเศษคือวิธีแพร่กระจายผ่านการแจ้งเตือนข้อผิดพลาดปลอมและการติดตั้งมัลแวร์จากเว็บไซต์ปลอม ทำให้ควรติดตั้งเฉพาะโปรแกรมจากแหล่งที่เชื่อถือได้เท่านั้น และไม่คลิกลิงก์หรือไฟล์ที่ไม่แน่ใจ ที่สำคัญมากคือมัลแวร์นี้สามารถฝ่าระบบความปลอดภัยอย่าง App-Bound Encryption และใช้วิธี DLL Injection เพื่อขโมยกุญแจเข้ารหัส ซึ่งหมายความว่าแม้จะใช้ฟีเจอร์ความปลอดภัยของแอปก็อาจถูกหลอกได้ ในฐานะผู้ใช้คริปโตและผู้ดูแลความปลอดภัยส่วนตัว ผมแนะนำให้ทุกคนติดตั้งและเปิดใช้งานโปรแกรมป้องกันไวรัสที่มีชื่อเสียง รวมถึงอัพเดทระบบและเบราว์เซอร์อยู่เสมอ อีกทั้งควรตั้งค่ารหัสผ่านที่ซับซ้อนและใช้การยืนยันตัวตนแบบสองขั้นตอน (2FA) เพื่อเพิ่มความปลอดภัย สุดท้าย การสำรองข้อมูลกระเป๋าคริปโตในที่ปลอดภัยและการใช้งานฮาร์ดแวร์วอลเล็ต (Hardware Wallet) จะช่วยลดความเสี่ยงจากการถูกขโมยข้อมูลโดยมัลแวร์ประเภทนี้ได้มาก ผมเองหลังจากรู้เรื่องมัลแวร์นี้ ก็ได้ทำตามคำแนะนำเหล่านี้เพื่อปกป้องทรัพย์สินดิจิทัลของตัวเองและแนะนำให้เพื่อนๆ พี่ๆ น้องๆ กลุ่มคริปโตได้ระวังตัวเช่นกันครับ
