ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

ไมโครซอฟท์ออกโรงเตือนภัย ระวังมัลแวร์ StilachiRAT ขโมยทั้งเหรียญคริปโต และรหัสบนเครื่อง

ไมโครซอฟท์ออกโรงเตือนภัย ระวังมัลแวร์ StilachiRAT ขโมยทั้งเหรียญคริปโต และรหัสบนเครื่อง

เมื่อ :
|  ผู้เข้าชม : 1,055
เขียนโดย :
0 %E0%B9%84%E0%B8%A1%E0%B9%82%E0%B8%84%E0%B8%A3%E0%B8%8B%E0%B8%AD%E0%B8%9F%E0%B8%97%E0%B9%8C%E0%B8%AD%E0%B8%AD%E0%B8%81%E0%B9%82%E0%B8%A3%E0%B8%87%E0%B9%80%E0%B8%95%E0%B8%B7%E0%B8%AD%E0%B8%99%E0%B8%A0%E0%B8%B1%E0%B8%A2+%E0%B8%A3%E0%B8%B0%E0%B8%A7%E0%B8%B1%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+StilachiRAT+%E0%B8%82%E0%B9%82%E0%B8%A1%E0%B8%A2%E0%B8%97%E0%B8%B1%E0%B9%89%E0%B8%87%E0%B9%80%E0%B8%AB%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B8%8D%E0%B8%84%E0%B8%A3%E0%B8%B4%E0%B8%9B%E0%B9%82%E0%B8%95+%E0%B9%81%E0%B8%A5%E0%B8%B0%E0%B8%A3%E0%B8%AB%E0%B8%B1%E0%B8%AA%E0%B8%9A%E0%B8%99%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87
A- A+
แชร์หน้าเว็บนี้ :

มัลแวร์ประเถทเข้าถึงเครื่องเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) นั้น นอกจากจะสามารถเข้าควบคุมบงการเครื่องได้แล้ว มักจะมาพร้อมกับความสามารถในการขโมยข้อมูลสำคัญของเหยื่ออีกด้วย

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของไมโครซอฟท์ ได้ทำการแจ้งเตือนถึงการตรวจพบแคมเปญของมัลแวร์ StilachiRAT ซึ่งเป็นมัลแวร์ประเภท RAT ตัวหนึ่งที่มีประสิทธิภาพในการเข้าควบคุมเครื่องผ่านการใช้คำสั่ง (Commands), ขโมยข้อมูลเกี่ยวกับระบบขของเครื่อง,  ขโมยรหัสผ่านและข้อมูลอ่อนไหวต่าง ๆ ที่อยู่บนเว็บเบราว์เซอร์, ขโมยข้อมูลบน Clipboard, ไปจนถึงขโมยเหรียญที่อยู่ในกระเป๋าเงินคริปโตเคอเรนซีที่ติดตั้งในรูปแบบส่วนเสริม (Extension) บนเว็บเบราว์เซอร์ Google Chrome ได้เลยทีเดียว

บทความเกี่ยวกับ เงิน อื่นๆ

โดยกระเป๋าเงินที่ตกเป็นเป้าหมายของมัลแวร์ดังกล่าวเรียกว่ามีอยู่มากมาย อย่างเช่น itget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal และ Plug เป็นต้น ซึ่งหลายตัวก็เป็นที่นิยมในหมู่นักลงทุน และเก็งกำไรคริปโตเคอร์เรนซีเป็นอย่างมาก

นอกจากนั้น ตัวมัลแวร์ดังกล่าวยังเสริมความร้ายกาจด้วยการที่มีระบบป้องกันการตรวจสอบตัวระบบหลังเกิดความเสียหาย (Anti-Forensic) อย่างการเช่น ลบข้อมูลต่าง ๆ ที่อยู่บนบันทึกเหตุการณ์ (Event Log) ที่อยู่บนระบบ เพื่อที่จะสร้างความยุ่งยากในการตรวจสอบว่าสาเหตุความเสียหายมาจากที่ใด อีกด้วย

และจากการตรวจสอบการทำงานระหว่างตัวมัลแวร์ และเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ก็ยังตรวจพบว่าการทำงานนั้นไม่ได้เป็นสั่งการมัลแวร์จากเซิร์ฟเวอร์อย่างเดียว แต่เป็นการสื่อสารแบบ 2 ทาง (Two-Ways Communication) ทั้งยังตรวจพบคำสั่งสำหรับสั่งการให้มัลแวร์ควบคุมเครื่องร่วม 10 คำสั่งด้วยกัน โดยคำสั่งส่วนมากมุ่งเน้นไปยังการสอบแนม และควบคุมบงการระบบ ซึ่งคำสั่งดังกล่าวนั้น มีดังนี้

07 – เปิด Dialog box ในรูปแบบ HTML ที่ได้รับจาก URL ที่ทางแฮกเกอร์ป้อนค่าไว้

08 - ลบข้อมูลบน Event Log ทั้งหมด

09 - เปิดการสั่งการปิดระบบ (Shutdown) ผ่านทาง Windows API ("ntdll.dll!NtShutdownSystem")

13 - เปิดรับการติดต่อสื่อสารจากเซิร์ฟเวอร์ C2 ทั้งขาเข้า และขาออก

14 - รับการติดต่อผ่านทางพอร์ต TCP ที่ทางแฮกเกอร์ตั้งค่าไว้

15 - ตัดการติดต่อสื่อสารของตัวระบบ

16 - รันแอปพลิเคชัน ตามที่ทางแฮกเกอร์ต้องการ

19 - นับหน้าต่างทั้งหมดที่ถูกเปิดอยู่บน Desktop เพื่อทำการค้นหาข้อตวามบน Tittle Bar ตามที่ทางแฮกเกอร์ต้องการ

26 - สั่งให้เครื่องของเหยื่อเข้าสู่โหมด Sleep

30 - ขโมยรหัสผ่านที่ถูกบันทึกไว้บน Google Chrome

สำหรับแคมเปญของมัลแวร์ดังกล่าวนี้ ทางทีมวิจัยจากไมโครซอฟท์ได้ตรวจพบในช่วงเดือนพฤศจิกายน ค.ศ. 2024 (พ.ศ. 2567) ที่ผ่านมา โดยตัวมัลแวร์นั้นอยู่ในรูปแบบไฟล์ DLL ที่มีชื่อไฟล์ว่า "WWStartupCtrl64.dll"  ซึ่งถึงแม้จะถูกตรวจพบมาเป็นเวลานานพอสมควรแล้วก็ตาม ทางไมโครซอฟท์ก็ยังไม่สามารถยืนยันได้ว่า แฮกเกอร์กลุ่มใดอยู่เบื้องหลังมัลแวร์ดังกล่าว และมัลแวร์ดังกล่าวเข้าสู่เครื่องได้อย่างไร มีการใช้ไฟล์แบบใดเป็นพาหะในการหลอกล่อเหยื่อ ดังนั้น ขอให้ผู้อ่านทำการระมัดระวังไฟล์แปลกประหลาดจากแหล่งที่ไม่น่าเชื่อถือไว้ก่อน ถึงแม้ทางทีมวิจัยจะยังไม่สามารถยืนยันแหล่งที่มาของมัลแวร์ดังกล่าวได้ก็ตาม


ที่มา : www.microsoft.com , thehackernews.com

0 %E0%B9%84%E0%B8%A1%E0%B9%82%E0%B8%84%E0%B8%A3%E0%B8%8B%E0%B8%AD%E0%B8%9F%E0%B8%97%E0%B9%8C%E0%B8%AD%E0%B8%AD%E0%B8%81%E0%B9%82%E0%B8%A3%E0%B8%87%E0%B9%80%E0%B8%95%E0%B8%B7%E0%B8%AD%E0%B8%99%E0%B8%A0%E0%B8%B1%E0%B8%A2+%E0%B8%A3%E0%B8%B0%E0%B8%A7%E0%B8%B1%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+StilachiRAT+%E0%B8%82%E0%B9%82%E0%B8%A1%E0%B8%A2%E0%B8%97%E0%B8%B1%E0%B9%89%E0%B8%87%E0%B9%80%E0%B8%AB%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B8%8D%E0%B8%84%E0%B8%A3%E0%B8%B4%E0%B8%9B%E0%B9%82%E0%B8%95+%E0%B9%81%E0%B8%A5%E0%B8%B0%E0%B8%A3%E0%B8%AB%E0%B8%B1%E0%B8%AA%E0%B8%9A%E0%B8%99%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น