พบมัลแวร์ "BHUNT" แฮกกระเป๋าคริปโต เหยื่อโดนเพราะเปิดใช้คีย์ Windows ผ่าน "KMSpico"

นักวิจัยด้านความปลอดภัยจาก Bitdefender บริษัทที่ประกอบธุรกิจด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่การค้นพบมัลแวร์ตัวใหม่ที่ได้รับการขนานนามว่า "BHUNT" มันเป็นมัลแวร์ขโมยเงินดิจิทัลเหมือน CryptBot, Redline Stealer และ WeSteal และเหยื่อส่วนมากโดนเพราะเปิดแอคติเวทคีย์ Windows 10 อย่างผิดกฎหมายผ่านโปรแกรม "KMSPico"

ข้อมูลเพิ่มเติม : Malware คืออะไร ? Malware มีกี่ประเภท ? และรูปแบบของมัลแวร์ชนิดต่างๆ ที่น่าจดจำ

ข้อมูลจาก Bitdefender ระบุว่า "BHUNT" เป็นมัลแวร์ที่มีจุดมุ่งหมายคือสกุลเงินดิจิทัลของเหยื่อ มันสามารถขโมยข้อมูล "Seed Phrases" หรือรหัสลับกระเป๋าเงินดิจิทัลของเหยื่อบนเว็บเบราว์เซอร์หรือใน Clipboard ได้และส่งกลับไปให้แฮกเกอร์เปิดใช้กระเป๋าเงินนั้นเพื่อทำการขโมยเงินออกมา

จุดเด่นของ "BHUNT" เป็นมัลแวร์ที่มีรูปแบบสถาปัตยกรรมแบบ Modular หรือแยกส่วนเป็นองค์ประกอบย่อย ๆ เพื่อทำหน้าที่ที่ต่างกัน และนำมาประกอบเป็นมัลแวร์ตัวเดียว นั่นทำให้ความสามารถของ Malware ตัวนี้มีความหลากหลาย และอันตรายมากทีเดียว

โดยมันจะทำการฝังตัวไว้ในไฟล์ "explorer.exe" ซึ่งเป็นไฟล์ระบบหลักของ ระบบปฏิบัติการ Windows ซึ่งคาดว่าถูกติดตั้งโดยที่เหยื่อไปดาวน์โหลดโปรแกรม "KMSPico" ที่เป็นยูทิลิตี้ยอดนิยมสำหรับการ Crack โปรแกรมของ Microsoft และได้เปิดแอคติเวทคีย์ระบบปฏิบัติการ Windows อย่างผิดกฎหมาย

โดยที่ตอนนี้มัลแวร์ "BHUNT" ได้แพร่กระจายไปยังผู้ใช้งานหลายประเทศแล้ว และแผนที่ดังต่อไปนี้จะแสดงระดับความเข้มข้นของการพบมัลแวร์ตัวนี้ ซึ่งแสดงให้เห็นเลยว่าในประเทศไทยก็มีคนโดนไปเหมือนกัน ส่วนในอินเดียมีสีเข้มสุดถือว่าพบเยอะมาก ๆ

ภาพจาก https://www.bleepingcomputer.com/news/security/new-bhunt-malware-targets-your-crypto-wallets-and-passwords/

ส่วนด้านล่างนี้ก็คือการทำงานของ "BHUNT" โดยชี้ให้เห็นว่าหลังจากฝังตัวในไฟล์ explorer.exe มันก็จะค่อย ๆ รันไฟล์ที่ทำให้เครื่องติดไวรัสไปเรื่อย ๆ โดยมีไฟล์หลักคือ "mscrib.exe" ที่มันใช้รันโมดูลการทำงาน ซึ่งโมดูลแต่ละอันก็จะมีหน้าที่ต่างกันไปอย่างที่กล่าวไว้ข้างต้น

BHUNT's execution flow
ภาพจาก https://www.bleepingcomputer.com/news/security/new-bhunt-malware-targets-your-crypto-wallets-and-passwords/

• blacjack : มีหน้าที่ขโมยเนื้อหาไฟล์กระเป๋าสกุลเงินดิจิทัล เข้ารหัสด้วยฐาน 64 และอัปโหลดไปยังเซิร์ฟเวอร์ควบคุม (C2 server)
• chaos_crew : มีหน้าที่ใช้ดาวน์โหลด Payload
• golden7 : มีหน้าที่ขโมยรหัสผ่านจาก clipboard และอัปโหลดไปยังเซิร์ฟเวอร์ควบคุม (C2 server)
• Sweet_Bonanza : มีหน้าที่ขโมยข้อมูลจากโปรแกรม เว็บเบราว์เซอร์ ต่างๆ (Chrome, IE, Firefox, Opera, Safari)
• mrpropper : มีหน้าที่กลบร่องรอยไม่ให้โปรแกรมตรวจจับได้

เป้าหมายสกุลเงินที่โดนไปแล้วประกอบด้วย Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, และ Litecoin.

ภาพนี้เป็นโค้ดของโมดูล "Blackjack" ที่ตรวจพบโดยนักวิจัย

นักวิจัยเตือนว่าแม้มัลแวร์เหล่านี้จะมีเป้าหมายเป็นกระเป๋าเงินดิจิทัล แต่ข้อมูลที่ได้ไป ไม่ใช่แค่ข้อมูลกระเป๋าเงินอย่างเดียว แต่รวมถึงรายการ Password ที่ผู้ใช้งานล็อกอินเข้าเว็บไซต์ต่าง ๆ ไม่ว่าจะเป็น Facebook, ธนาคาร หรือ เว็บไซต์อะไรก็ตาม ซึ่งหากแฮกเกอร์คิดจะทำอะไรกับของเหล่านั้น แน่นอนว่าความเสียหายประเมินแทบไม่ได้เลย

เพื่อหลีกเลี่ยงไม่ให้ "BHUNT" เข้ามาก่อกวนในคอมพิวเตอร์ของคุณ ควรหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์ โดยเฉพาะ โปรแกรมยูทิลิตี้ (Utility Software) ที่ระบุมาข้างต้นอย่าง KMSPico เพื่อจะได้ไม่ตกเป็นเหยื่อของแฮกเกอร์อีก