มัลแวร์ Myth Stealer แฝงตัวบนเว็บเกมส์ปลอม เล็งโจมตีผู้ใช้งาน Chrome และ Firefox

การหาซื้อ หรือดาวน์โหลดวิดีโอเกมในปัจจุบันนั้น ก็มีหลากหลายช่องทางขึ้นอยู่กับวิดีโอเกมนั้น ๆ จะมีการปล่อยวางจำหน่ายหรือแจกฟรีในช่องทางไหน แต่การที่มีหลายช่องทางนี้เอง ก็ได้เป็นจุดอ่อนให้แฮกเกอร์นำมาใช้เพื่อปล่อยมัลแวร์เช่นเดียวกัน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์เพื่อการขโมยข้อมูล (Infostealer) ที่มีชื่อว่า Myth Stealer โดยทีมวิจัยจาก Trellix บริษัทผู้พัฒนาเครื่องมือสำหรับการตรวจจับภัยไซเบอร์ ซึ่งมัลแวร์ตัวดังกล่าวนี้ถูกปล่อยให้ใช้งานในช่วงเดือน ธันวาคม ค.ศ. 2024 (พ.ศ. 2567) ในรูปแบบมัลแวร์สำหรับการเช่าใช้ (Malware-as-a-Service หรือ MaaS) โดยทางแฮกเกอร์ที่พัฒนามัลแวร์ตัวดังกล่าวนั้นได้ทำการวางจำหน่ายผ่านทางบริการแชทชื่อดัง Telegram มัลแวร์ตัวนี้มีประสิทธิภาพในการขโมยข้อมูลหลากรูปแบบไม่ว่าจะเป็น รหัสผ่าน, ข้อมูลแบบเติมช่องกรอกอัตโนมัติ (Autofill) และไฟล์ Cookies ของเว็บเบราว์เซอร์หลากรูปแบบ ไม่ว่าจะเป็น Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Vivaldi เป็นต้น นอกจากการปล่อยเช่ามัลแวร์ดังกล่าวแล้ว แฮกเกอร์ยังได้เปิดช่องทางในการขายบัญชีต่าง ๆ ที่ถูกขโมยมาด้วยการใช้มัลแวร์ตัวนี้ รวมทั้งมีการทำการตลาดด้วยคำชม (Testimonial) จากเหล่าแฮกเกอร์ผู้ใช้งาน เพื่อสร้างความน่าเชื่อถือในตัวมัลแวร์อีกด้วย

ในส่วนของแคมเปญนี้ ทางทีมวิจัยได้อธิบายว่า แฮกเกอร์ใช้วิธีการแพร่กระจายผ่านทางเว็บไซต์ปลอมที่อ้างว่าเป็นเว็บไซต์แจกวิดีโอเกมที่อยู่ในช่วงกำลังพัฒนา โดยเชิญชวนให้เหยื่อที่หลงเข้ามาดาวน์โหลดไปลองเล่นเพื่อการทดสอบตัววิดีโอเกม ซึ่งเว็บไซต์เหล่านี้มักตั้งอยู่บน Google Blogger โดยแคมเปญดังกล่าวนั้น ทางทีมวิจัยได้กล่าวว่าคล้ายคลึงการแคมเปญการแพร่กระจายมัลแวร์ Infostealer อีกตัวหนึ่งที่มีชื่อว่า AgeoStealer ถึงแม้ตัวมัลแวร์ทั้ง 2 ตัวจะไม่มีความเกี่ยวข้องกันเลยก็ตาม แม้กระทั่งในทางเทคนิคพื้นฐาน ที่มัลแวร์ AgeoStealer นั้นถูกเขียนขึ้นในรูปแบบ JavaScript แล้วนำมาบรรจุเป็นแพ็คเกจสำหรับเผยแพร่ในรูปแบบ Electron Application ขณะที่ Myth Stealer นั่นถูกพัฒนาขึ้นด้วยการใช้ภาษา Rust ในการเขียน นอกจากการแพร่กระจายมัลแวร์ดังกล่าวผ่านทางวิดีโอเกมปลอมแล้ว ทางทีมวิจัยจาก Trillix บริษัทผู้เชี่ยวชาญด้านการตรวจจับภัยไซเบอร์ ได้กล่าวว่า มีการตรวจพบการแอบอ้างมัลแวร์เป็นตัวแคร็ก (Crack) ของวิดีโอเกมชื่อดังต่าง ๆ อีกด้วย

ภาพจาก: https://thehackernews.com/2025/06/rust-based-myth-stealer-malware-spread.html

ถึงแม้จะใช้ตัวพาหะที่ต่างกัน ทางทีมวิจัยก็ได้กล่าวว่า ไส้ในนั้นล้วนเหมือนกันโดยจะเป็นตัวมัลแวร์นกต่อ (Loader) กับหน้าจอติดตั้งปลอมที่คล้ายคลึงกับเกม หรือตัวแคร็ก ตัวจริง ซึ่งขณะที่ติดตั้งนั้นเอง ตัว Loader ก็จะทำงานในฉากหลัง (Background) เพื่อดาวน์โหลดไฟล์มัลแวร์ลงมาติดตั้งบนเครื่องโดยที่เหยื่อไม่ทันรู้ตัว หลังจากที่ติดตั้งเสร็จแล้ว ไฟล์ .DLL ระดับ 64 Bit ของตัวมัลแวร์จะทำการปิด Process ต่าง ๆ ที่เป็นของเว็บเบราว์เซอร์ ก่อนที่จะทำการขโมยข้อมูลที่อยู่ภายในตัวเว็บเบราว์เซอร์ แล้วส่งกลับไปยังเซิร์ฟเวอร์ระยะไกล (Remote Server) และในบางครั้ง อาจเป็นการส่งผ่าน Discord Webhook แทน

นอกจากความสามารถดังกล่าวแล้ว ตัวมัลแวร์ยังมีความสามารถในการตีรวน (Obfuscation) ระบบการวิเคราะห์ (Anti-Analysis) รวมทั้งยังมีการอัปเดตโค้ดภายในอัตโนมัติอย่างเป็นประจำเพื่อหลีกเลี่ยงการถูกตรวจจับโดยแอนตี้ไวรัสต่าง ๆ อีกด้วย ทั้งยังมีความสามารถในการบันทึกหน้าจอ และขโมยหรือสับเปลี่ยนข้อมูลบน Clipboard ได้อีกด้วย ดังนั้น เหล่าเกมเมอร์จะต้องมีความระมัดระวังที่มากขึ้นในการดาวน์โหลดวิดีโอเกมใด ๆ มาเล่น โดยมุ่งเน้นการดาวน์โหลดจากช่องทางที่น่าเชื่อถือ แทนที่จะดาวน์โหลดจากเว็บไซต์ต้องสงสัยต่าง ๆ