มัลแวร์ MSI Installer โจมตีนักเทรดคริปโตตั้งแต่มิถุนายน 2568
แคมเปญมัลแวร์ที่ซับซ้อนซึ่งถูกค้นพบว่ากำลังเล็งเป้าโจมตีนักเทรดคริปโตเคอร์เรนซีนั้น แอบปฏิบัติการอยู่อย่างเงียบๆ ตั้งแต่มิถุนายน 2568 โดยใช้กลอุบายที่ดูเรียบง่ายแต่ได้ผล นั่นคือการฝัง SSH credentials และ GitLab tokens ไว้โดยตรงภายในไฟล์ MSI installer ปฏิบัติการนี้ได้บุกรุกโฮสต์ไปแล้วกว่า 90 รายการ และถูกออกแบบมาโดยเฉพาะเพื่อยึดครองบัญชีเทรดคริปโต ด้วยการรวมการสำรวจระบบ การดักจับการกดคีย์บอร์ด และการขโมยข้อมูลจากเบราว์เซอร์เข้าไว้ในห่วงโซ่การโจมตีที่ประสานกันอย่างเป็นระบบ สำหรับผู้ที่ถือครองหรือเทรดสินทรัพย์ดิจิทัลอยู่อย่างแข็งขัน กลไกของแคมเปญนี้เผยให้เห็นว่าเหตุใดการพึ่งพา hardware wallet เพียงอย่างเดียวจึงไม่เพียงพอสำหรับการป้องกัน
วิธีการทำงานของแคมเปญ MSI Installer: การสำรวจระบบ การดักจับคีย์บอร์ด และการขโมยข้อมูลจากเบราว์เซอร์
การโจมตีเริ่มต้นเมื่อเป้าหมายรันสิ่งที่ดูเหมือนจะเป็น MSI installer ที่ถูกกฎหมาย ซึ่งเป็นรูปแบบแพ็กเกจ Windows มาตรฐานที่ใช้โดยผู้จำหน่ายซอฟต์แวร์นับไม่ถ้วน เมื่อรันแล้ว installer จะติดตั้งชุดมัลแวร์สามโมดูลที่ทำงานตามลำดับ
โมดูลแรกทำการสำรวจระบบ โดยทำแผนที่การกำหนดค่าของโฮสต์ที่ติดมัลแวร์ สภาพแวดล้อมเครือข่าย และซอฟต์แวร์ที่ติดตั้งอยู่ ขั้นตอนนี้ให้ภาพที่ชัดเจนแก่ผู้โจมตีว่ากำลังทำงานกับอะไรก่อนที่จะเจาะลึกเข้าไปอีก โมดูลที่สองเปิดใช้งาน keylogger เพื่อบันทึกทุกอย่างที่เหยื่อพิมพ์ ทั้งข้อมูลล็อกอินบัญชีเอ็กซ์เชนจ์ รหัสการยืนยันตัวตนสองขั้นตอน และ passphrase ของกระเป๋าเงิน โมดูลที่สามมุ่งเป้าไปที่ข้อมูลที่เก็บไว้ในเบราว์เซอร์ โดยดึงเอารหัสผ่านที่บันทึกไว้ session cookies และข้อมูลป้อนอัตโนมัติที่สามารถนำไปใช้เพื่อผ่านการยืนยันตัวตนบนแพลตฟอร์มการเงินโดยไม่ต้องรู้รหัสผ่านบัญชีโดยตรง
การผสมผสานนี้เป็นไปโดยเจตนา การดักจับคีย์บอร์ดจับข้อมูลประจำตัวที่กำลังถูกใช้งาน ส่วนการขโมยข้อมูลจากเบราว์เซอร์จับข้อมูลประจำตัวที่เก็บไว้นิ่งๆ เมื่อรวมกันแล้ว จึงแทบไม่มีช่องว่างให้รอดพ้น
เหตุใดการฝัง Credentials แบบ Hardcode จึงเป็นความเสี่ยงเชิงระบบ
สิ่งที่ทำให้แคมเปญนี้น่าสนใจเป็นพิเศษจากมุมมองของการวิจัยด้านความปลอดภัย ไม่ใช่แค่สิ่งที่มันทำกับเหยื่อ แต่ยังรวมถึงสิ่งที่มันเปิดเผยเกี่ยวกับตัวผู้โจมตีเองด้วย การฝัง SSH credentials และ GitLab tokens แบบ hardcode ไว้ใน installer หมายความว่ามัลแวร์มีลิงก์โดยตรงที่คงที่เชื่อมกลับไปยังโครงสร้างพื้นฐานแบ็กเอนด์ของตัวเอง
นี่คือความล้มเหลวด้านความปลอดภัยในการปฏิบัติการของผู้โจมตี และมันไม่ได้เป็นเรื่องเฉพาะของกลุ่มนี้ เมื่อนักพัฒนา ไม่ว่าจะสร้างซอฟต์แวร์ที่ถูกกฎหมายหรือเครื่องมือที่เป็นอันตราย ทำการ hardcode authentication tokens ลงในไฟล์ที่คอมไพล์หรือแพ็กเกจแล้ว ข้อมูลประจำตัวเหล่านั้นจะกลายเป็นสิ่งที่ใครก็ตามที่ตรวจสอบไฟล์ binary สามารถอ่านได้ สำหรับฝ่ายป้องกัน การมี credentials แบบ hardcode ในมัลแวร์สามารถเปิดโปง command-and-control servers คลังโค้ด และแม้แต่กระบวนการพัฒนาภายในของผู้ก่อภัยคุกคาม สำหรับเหยื่อ ข้อบกพร่องเดียวกันที่อาจช่วยให้นักสืบสาวกลับไปหาผู้โจมตีได้นั้น ไม่ได้ให้การปกป้องใดๆ หลังจากที่เกิดการบุกรุกไปแล้ว
รูปแบบนี้สะท้อนให้เห็นแนวโน้มที่กว้างขึ้นในมัลแวร์ที่มุ่งเป้าไปที่คลาวด์ ดังที่ครอบคลุมในรายงานเกี่ยวกับ มัลแวร์ PCPJack ที่ใช้ประโยชน์จาก cloud credentials กรอบการขโมยข้อมูลประจำตัวมองว่า tokens ที่ไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสมเป็นเป้าหมายที่หยิบฉวยได้ง่าย ไม่ว่า tokens เหล่านั้นจะเป็นของเหยื่อ หรือในกรณีนี้ ของผู้โจมตีเอง
ใครเป็นเป้าหมาย และนักเทรดคริปโตถูกเลือกเป็นเป้าได้อย่างไร
การที่แคมเปญนี้มุ่งเน้นไปที่นักเทรดคริปโตเคอร์เรนซีไม่ใช่เรื่องบังเอิญ บัญชีคริปโตมีโปรไฟล์เป้าหมายที่น่าดึงดูดเป็นพิเศษ: บัญชีเหล่านั้นมักถือมูลค่าสภาพคล่องที่สำคัญ ธุรกรรมไม่สามารถย้อนกลับได้เมื่อถูกส่งไปยัง blockchain แล้ว และนักเทรดจำนวนมากใช้อินเทอร์เฟซที่ใช้เบราว์เซอร์เพื่อจัดการ positions ในหลายเอ็กซ์เชนจ์พร้อมกัน
ประเด็นสุดท้ายนั้นสำคัญมาก การเทรดผ่านเบราว์เซอร์หมายความว่า sessions ที่เก็บไว้ในเบราว์เซอร์ cookies และ credentials ที่บันทึกไว้เป็นเส้นทางตรงในการเข้าถึงบัญชี ผู้โจมตีที่ดักจับ session cookie ที่ยังใช้งานได้จากเบราว์เซอร์มักสามารถยืนยันตัวตนกับเอ็กซ์เชนจ์ได้โดยไม่กระตุ้นให้มีการขอรหัสผ่านหรือการยืนยันตัวตนสองขั้นตอน เพราะ session นั้นได้รับการยืนยันตัวตนแล้ว โมดูล keylogger จะครอบคลุมทุกสถานการณ์ที่นักเทรดออกจากระบบแล้วกลับเข้ามาใหม่ โดยจับ credentials ใหม่แบบเรียลไทม์
เมื่อยืนยันแล้วว่ามีโฮสต์ถูกบุกรุกไปกว่า 90 ราย ขนาดของแคมเปญบ่งบอกถึงปฏิบัติการที่มีเป้าหมายชัดเจนและต่อเนื่อง แทนที่จะเป็นการโจมตีแบบหว่านแหกว้างๆ นักเทรดที่ดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่เป็นทางการหรือไม่ได้รับการยืนยันตั้งแต่มิถุนายน 2568 มีความเสี่ยงมากที่สุด
VPN ตัวจัดการ Credentials และการรักษาความสะอาดของเบราว์เซอร์ช่วยลดพื้นที่เสี่ยงของคุณได้อย่างไร
ไม่มีเครื่องมือใดเครื่องมือเดียวที่จะกำจัดความเสี่ยงที่แคมเปญนี้สร้างขึ้นได้ แต่มีหลายแนวปฏิบัติที่ช่วยลดความเสี่ยงได้อย่างมีนัยสำคัญ
VPN ไม่ได้ป้องกันมัลแวร์จากการทำงานเมื่อมันอยู่ในเครื่องแล้ว แต่มันช่วยลดความเสี่ยงของการดักจับ traffic และสามารถจำกัดการมองเห็นระดับเครือข่ายที่ผู้โจมตีได้รับในระหว่างขั้นตอนการสำรวจระบบ ที่สำคัญกว่านั้น การใช้ VPN อย่างสม่ำเสมอบนอุปกรณ์ทุกชิ้นช่วยสร้างความสะอาดของเครือข่ายให้เป็นนิสัยแทนที่จะเป็นสิ่งที่นึกขึ้นมาทีหลัง
ตัวจัดการ credentials จัดการกับหนึ่งในช่องทางการโจมตีหลักที่นี่: รหัสผ่านที่เก็บในเบราว์เซอร์ เมื่อ credentials ถูกเก็บไว้ในตัวจัดการที่เข้ารหัสโดยเฉพาะแทนที่จะเป็น vault รหัสผ่านดั้งเดิมของเบราว์เซอร์ การขโมยข้อมูลจากเบราว์เซอร์จะได้ข้อมูลที่นำไปใช้ประโยชน์ได้น้อยลงมาก ตัวจัดการ credentials ส่วนใหญ่ยังรองรับการสร้างรหัสผ่านที่ไม่ซ้ำกันและซับซ้อนสำหรับทุกบัญชี ซึ่งช่วยจำกัดความเสียหายหาก credentials ชุดหนึ่งถูกดักจับไป
การรักษาความสะอาดของเบราว์เซอร์ก็มีความสำคัญเช่นกัน นักเทรดควรพิจารณาใช้โปรไฟล์เบราว์เซอร์เฉพาะหรือแม้แต่เบราว์เซอร์แยกต่างหากโดยเฉพาะสำหรับการเข้าถึงเอ็กซ์เชนจ์ โปรไฟล์นั้นไม่ควรมีรหัสผ่านที่บันทึกไว้ ไม่มีส่วนขยายนอกเหนือจากที่จำเป็นอย่างเคร่งครัด และควรล้าง cookies หลังจากแต่ละเซสชัน Session cookies ไม่สามารถถูกขโมยจากเซสชันที่ไม่มีอยู่แล้วได้
สุดท้าย ความมีวินัยในการติดตั้งซอฟต์แวร์คือแนวป้องกันด่านแรก ไฟล์ MSI ที่ได้มาจากภายนอกเว็บไซต์ผู้จำหน่ายอย่างเป็นทางการหรือ app stores มีความเสี่ยงจริง การตรวจสอบ file hashes การตรวจสอบลายเซ็นผู้เผยแพร่ และการถือว่า installer ใดๆ ที่ต้องการให้ปิดใช้งานซอฟต์แวร์ความปลอดภัยเป็น red flag ทันที สามารถป้องกันการรันครั้งแรกที่ทำให้ทุกอย่างที่เกิดขึ้นหลังจากนั้นเป็นไปได้
สิ่งนี้หมายความว่าอะไรสำหรับคุณ
หากคุณเทรดคริปโตเคอร์เรนซีอย่างแข็งขันหรือถือสินทรัพย์ดิจิทัลที่เข้าถึงได้ผ่านอินเทอร์เฟซที่ใช้เบราว์เซอร์ แคมเปญนี้คือคำเตือนโดยตรง Hardware wallets ปกป้องเงินทุนบน chain แต่ไม่ได้ปกป้องบัญชีเอ็กซ์เชนจ์ และนั่นคือจุดที่มัลแวร์นี้ถูกออกแบบมาเพื่อสร้างความเสียหาย
เริ่มต้นด้วยการตรวจสอบว่า credentials ของคุณอยู่ที่ไหนในปัจจุบัน หากรหัสผ่านเอ็กซ์เชนจ์ของคุณถูกบันทึกไว้ในเบราว์เซอร์ ให้ย้ายไปยังตัวจัดการ credentials เฉพาะและสร้างรหัสผ่านใหม่ที่ไม่ซ้ำกันสำหรับแต่ละแพลตฟอร์ม ตรวจสอบส่วนขยายเบราว์เซอร์ของคุณและลบสิ่งที่คุณไม่ได้ใช้งานจริง ตรวจสอบประวัติการดาวน์โหลดของคุณสำหรับ MSI installers ที่ได้มาตั้งแต่มิถุนายน 2568 จากแหล่งที่คุณไม่สามารถยืนยันได้
ความซับซ้อนที่เพิ่มขึ้นของปฏิบัติการขโมยข้อมูลประจำตัว ตั้งแต่แคมเปญ hardcoded-token ที่อธิบายไว้ที่นี่จนถึงการใช้ประโยชน์จาก CVE หลายรายการที่บันทึกไว้ในกรอบการมุ่งเป้าไปที่คลาวด์ ทำให้การรักษาความสะอาดของ credentials อย่างเชิงรุกเป็นหนึ่งในการป้องกันที่มีประสิทธิภาพที่สุดสำหรับผู้ใช้รายบุคคล การใช้เวลาหนึ่งชั่วโมงเพื่อตรวจสอบการตั้งค่าของคุณวันนี้เจ็บปวดน้อยกว่าการฟื้นตัวจากการถูกยึดครองบัญชีในวันพรุ่งนี้มาก
