ไมโครซอฟท์ออกโรงเตือนภัย ระวังมัลแวร์ StilachiRAT ขโมยทั้งเหรียญคริปโต และรหัสบนเครื่อง

มัลแวร์ประเถทเข้าถึงเครื่องเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) นั้น นอกจากจะสามารถเข้าควบคุมบงการเครื่องได้แล้ว มักจะมาพร้อมกับความสามารถในการขโมยข้อมูลสำคัญของเหยื่ออีกด้วย

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของไมโครซอฟท์ ได้ทำการแจ้งเตือนถึงการตรวจพบแคมเปญของมัลแวร์ StilachiRAT ซึ่งเป็นมัลแวร์ประเภท RAT ตัวหนึ่งที่มีประสิทธิภาพในการเข้าควบคุมเครื่องผ่านการใช้คำสั่ง (Commands), ขโมยข้อมูลเกี่ยวกับระบบขของเครื่อง,  ขโมยรหัสผ่านและข้อมูลอ่อนไหวต่าง ๆ ที่อยู่บนเว็บเบราว์เซอร์, ขโมยข้อมูลบน Clipboard, ไปจนถึงขโมยเหรียญที่อยู่ในกระเป๋าเงินคริปโตเคอเรนซีที่ติดตั้งในรูปแบบส่วนเสริม (Extension) บนเว็บเบราว์เซอร์ Google Chrome ได้เลยทีเดียว

โดยกระเป๋าเงินที่ตกเป็นเป้าหมายของมัลแวร์ดังกล่าวเรียกว่ามีอยู่มากมาย อย่างเช่น itget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal และ Plug เป็นต้น ซึ่งหลายตัวก็เป็นที่นิยมในหมู่นักลงทุน และเก็งกำไรคริปโตเคอร์เรนซีเป็นอย่างมาก

นอกจากนั้น ตัวมัลแวร์ดังกล่าวยังเสริมความร้ายกาจด้วยการที่มีระบบป้องกันการตรวจสอบตัวระบบหลังเกิดความเสียหาย (Anti-Forensic) อย่างการเช่น ลบข้อมูลต่าง ๆ ที่อยู่บนบันทึกเหตุการณ์ (Event Log) ที่อยู่บนระบบ เพื่อที่จะสร้างความยุ่งยากในการตรวจสอบว่าสาเหตุความเสียหายมาจากที่ใด อีกด้วย

และจากการตรวจสอบการทำงานระหว่างตัวมัลแวร์ และเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ก็ยังตรวจพบว่าการทำงานนั้นไม่ได้เป็นสั่งการมัลแวร์จากเซิร์ฟเวอร์อย่างเดียว แต่เป็นการสื่อสารแบบ 2 ทาง (Two-Ways Communication) ทั้งยังตรวจพบคำสั่งสำหรับสั่งการให้มัลแวร์ควบคุมเครื่องร่วม 10 คำสั่งด้วยกัน โดยคำสั่งส่วนมากมุ่งเน้นไปยังการสอบแนม และควบคุมบงการระบบ ซึ่งคำสั่งดังกล่าวนั้น มีดังนี้

07 – เปิด Dialog box ในรูปแบบ HTML ที่ได้รับจาก URL ที่ทางแฮกเกอร์ป้อนค่าไว้

08 - ลบข้อมูลบน Event Log ทั้งหมด

09 - เปิดการสั่งการปิดระบบ (Shutdown) ผ่านทาง Windows API ("ntdll.dll!NtShutdownSystem")

13 - เปิดรับการติดต่อสื่อสารจากเซิร์ฟเวอร์ C2 ทั้งขาเข้า และขาออก

14 - รับการติดต่อผ่านทางพอร์ต TCP ที่ทางแฮกเกอร์ตั้งค่าไว้

15 - ตัดการติดต่อสื่อสารของตัวระบบ

16 - รันแอปพลิเคชัน ตามที่ทางแฮกเกอร์ต้องการ

19 - นับหน้าต่างทั้งหมดที่ถูกเปิดอยู่บน Desktop เพื่อทำการค้นหาข้อตวามบน Tittle Bar ตามที่ทางแฮกเกอร์ต้องการ

26 - สั่งให้เครื่องของเหยื่อเข้าสู่โหมด Sleep

30 - ขโมยรหัสผ่านที่ถูกบันทึกไว้บน Google Chrome

สำหรับแคมเปญของมัลแวร์ดังกล่าวนี้ ทางทีมวิจัยจากไมโครซอฟท์ได้ตรวจพบในช่วงเดือนพฤศจิกายน ค.ศ. 2024 (พ.ศ. 2567) ที่ผ่านมา โดยตัวมัลแวร์นั้นอยู่ในรูปแบบไฟล์ DLL ที่มีชื่อไฟล์ว่า "WWStartupCtrl64.dll"  ซึ่งถึงแม้จะถูกตรวจพบมาเป็นเวลานานพอสมควรแล้วก็ตาม ทางไมโครซอฟท์ก็ยังไม่สามารถยืนยันได้ว่า แฮกเกอร์กลุ่มใดอยู่เบื้องหลังมัลแวร์ดังกล่าว และมัลแวร์ดังกล่าวเข้าสู่เครื่องได้อย่างไร มีการใช้ไฟล์แบบใดเป็นพาหะในการหลอกล่อเหยื่อ ดังนั้น ขอให้ผู้อ่านทำการระมัดระวังไฟล์แปลกประหลาดจากแหล่งที่ไม่น่าเชื่อถือไว้ก่อน ถึงแม้ทางทีมวิจัยจะยังไม่สามารถยืนยันแหล่งที่มาของมัลแวร์ดังกล่าวได้ก็ตาม