พบมัลแวร์ MassJacker แฝงตัวอยู่ตามซอฟต์แวร์เถื่อน มุ่งขโมยเงินคริปโตเหยื่อ

ซอฟต์แวร์เถื่อนถึงแม้จะทำให้ผู้ใช้งานสามารถใช้โดยไม่จ่ายเงินได้ แต่ก็เป็นเรื่องที่ผิดกฎหมาย ทั้งยังนำพามาซึ่งของแถมไม่พึงประสงค์มากมายหลายอย่าง

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบการแพร่ระบาดของมัลแวร์ MassJacker ซึ่งเป็นมัลแวร์ประเภท Clipper (หรืออีกชื่อหนึ่งว่า Cryware) หรือมัลแวร์สำหรับการขโมยข้อมูล และเปลี่ยนแปลงข้อมูลในส่วนของ Clipboard โดยทีมวิจัยจาก CyberArk บริษัทผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลด้านตัวตน (Identity Security) โดยมัลแวร์ดังกล่าวนั้นจะทำหน้าที่ในการสับเปลี่ยนที่หมายของกระเป๋าเงินคริปโต (Wallet Address) ที่ถูกวางไว้บน Clipboard จากที่หมายที่ผู้ส่งตั้งใจจะส่งไป มาเป็นที่หมายกระเป๋าของแฮกเกอร์แทน ทำให้เงินแทนที่จะเข้าสู่กระเป๋าของผู้รับ กลับต้องตกไปอยู่ในมือของแฮกเกอร์ในท้ายที่สุด

ซึ่งทางทีมวิจัยได้เปิดเผยว่า ต้นตอของมัลแวร์ดังกล่าวนั้นมาจากเว็บไซต์ที่อ้างตนว่าเป็นเว็บไซต์สำหรับดาวน์โหลดซอฟต์แวร์เถื่อนที่มีชื่อว่า pesktop[.]com โดยบนเว็บไซต์นั้นจะมีซอฟต์แวร์เถื่อนสารพัดชนิดที่เลือกดาวน์โหลดใช้งาน โดยหลังจากที่เหยื่อได้ทำการดาวน์โหลดซอฟต์แวร์จากบนเว็บไซต์เป็นที่เรียบร้อยแล้ว เมื่อกดติดตั้ง ก็จะนำไปสู่การรันสคริปท์ PowerShell เพื่อทำการติดตั้งมัลแวร์ประเภท Botnet (มัลแวร์สำหรับใช้เครื่องเหยื่อเป็นกองทัพในการโจมตีระบบอื่น) ที่มีชื่อว่า Amadey พร้อมทั้งดาวน์โหลดไฟล์ .Net เพื่อใช้ในการดำเนินการดาวน์โหลดไฟล์มัลแวร์อีกตัวมา ซึ่งเหตุที่แบ่งออกเป็น 2 ไฟล์นั้น ก็เพื่ออำนวยความสะดวกให้สามารถติดตั้งมัลแวร์ได้ตามที่สถาปัตยกรรมเครื่องของเหยื่อรองรับ โดยแบ่งออกเป็น x86 และ x64

จากนั้นก็จะทำการรันไฟล์ .Net ดังกล่าวเพื่อดาวน์โหลดไฟล์ติดตั้งมัลแวร์ที่มีชื่อว่า PackerE ซึ่งเป็นไฟล์แบบ DLL ประเภทเข้ารหัส โดยไฟล์ดังกล่าวจะนำไปสู่การดาวน์โหลด ไฟล์ DLL ที่ 2 (Packer2)  ซึ่งเป็นไฟล์ DLL ของตัวมัลแวร์ที่แท้จริงที่จะทำการดาวน์โหลด และรันไฟล์มัลแวร์ MassJacker ที่อยู่ในรูปแบบไฟล์ .Exe แล้วทำการยิง (Inject) ตัวมัลแวร์ลงไว้บน Process ที่มีชื่อว่า InstalUtil.exe บน Windows Process เพื่อแฝงตัวทำงานบนระบบของเหยื่อในท้ายที่สุด

ภาพจาก : https://thehackernews.com/2025/03/new-massjacker-malware-targets-piracy.html

นอกจากความสามารถในการขโมยแล้ว ตัวมัลแวร์ยังมาพร้อมความสามารถในการหลีกเลี่ยงการตรวจจับและวิเคราะห์โดยผู้เชี่ยวชาญ (Anti-Debugging), ความสามารถในการต่อต้านการถูกดีบั๊ก (Anti-Debugging) ทำให้การตรวจสอบนั้นทำได้ยุ่งยากขึ้นมาก

ไม่เพียงเท่านั้น ทางทีมวิจัยยังพบว่า แฮกเกอร์ที่เป็นเจ้าของมัลแวร์ตัวดังกล่าว มีที่อยู่ของกระเป๋าเงินคริปโตที่เกี่ยวข้องกับมัลแวร์ดังกล่าวมากถึง 778,531 บัญชี ซึ่งจากทั้งหมดนั้นพบว่า มี 423 บัญชีที่มีเงินจากการถูกขโมยมา บรรจุอยู่เป็นมูลค่ามากถึง 95,300 ดอลลาร์สหรัฐ (3,215,422 บาท) แต่มูลค่าของการทำธุรกรรมในการส่งเงินออก (ซึ่งคาดว่าอาจส่งไปยังบัญชีอื่นของแฮกเกอร์ หรือ บัญชีม้าอื่น ๆ ) ที่สูงถึง 336,700 ดอลลาร์สหรัฐ (หรือ 11,360,258 บาท) นอกจากนั้นยังพบว่า มีกระเป๋าเงินบัญชีหนึ่งที่มีเงินในสกุล SOL (หรือ Solana) ประมาณ 800 เหรียญ ตีเป็นมูลค่าที่สูงมากถึง 87,000 ดอลลาร์สหรัฐ (หรือ 2,935,380 บาท) โดยมีธุรกรรมการถูกโอนเข้ามากถึง 350 ธุรกรรม จากหลากบัญชีที่

แต่ทั้งหมดนี้สามารถป้องกันได้ เพียงแค่หลีกเลี่ยงการใช้ซอฟต์แวร์ที่ไม่ถูกลิขสิทธิ์ ซึ่งนอกจากจะผิดกฎหมายแล้ว ของแถมที่ได้รับอาจนำไปการสูญเสียเงินอย่างไม่รู้ตัวอีกด้วย