บริษัทเกมและ AI (ปลอม) หลอกปล่อยมัลแวร์ใส่นักเทรดคริปโตตาม Discord และ Telegram

คำยอดนิยม หรือ Buzzword ที่เป็นที่นิยมในหมู่วัยรุ่น คนรุ่นใหม่ในยุคนี้คงจะหนีไม่พ้น 2 คำนี้ คือ คริปโตเคอร์เรนซี (หรือ คริปโต) และ AI (ปัญญาประดิษฐ์) ทำให้มีหลายคนลงมาศึกษาคลุกคลีกับสิ่งเหล่านี้มาก แน่นอน กลุ่มแฮกเกอร์ก็เช่นกันก็ได้เข้ามาใช้คำเหล่านี้เพื่อหลอกลวงเหยื่อมที่สนใจ ให้มาถูกฝังมัลแวร์เช่นเดียวกัน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ครั้งใหม่ด้วยการแอบอ้างตนเป็นบริษัทเกม, Web3, และ AI ในรูปแบบของบริษัทสตาร์ทอัป (Startup) ซึ่งแฮกเกอร์จะทำการเข้าถึงเหยื่อด้วยการส่งข้อความส่วนตัวให้กับเหยื่อเป้าหมายบนโซเชียลมีเดีย และแอปพลิเคชันแชทชื่อดัง เช่น X, Telegram, และ Discord ผ่านทางบัญชีที่แอบอ้างว่าเป็นบริษัทในรูปแบบดังกล่าว ซึ่งบริษัทเหล่านี้ก็ไม่ได้มีแค่บัญชีโซเชียลมีเดีย แต่มีการสร้างบัญชีบนหลากแพลตฟอร์มเพื่อสร้างความน่าเชื่อถือ เช่น บน Github และ Notion โดยได้มีการอัปโหลดเอกสารเกี่ยวกับโครงการไว้บนพื้นที่เหล่านั้นด้วย

ซึ่งในการเข้ามาติดต่อของบริษัทเหล่านี้นั้น แฮกเกอร์ที่อยู่เบื้องหลังบริษัทปลอมจะมุ่งเน้นไปยังกลุ่มที่มีการเทรด, ลงทุน, หรือใช้งานคริปโตเคอร์เรนซี ซึ่งการหลอกลวงนั้นก็ง่าย ๆ แฮกเกอร์จะทำการร้องขอให้เหยื่อเข้าร่วมเป็นส่วนหนึ่งของโครงการทดสอบซอฟต์แวร์เพื่อแลกกับค่าตอบแทนในรูปแบบเหรียญคริปโตเคอร์เรนซี หลังจากที่เหยื่อเชื่อผู้ชักชวนแล้ว ผู้ชักชวนก็จะทำการส่งลิงก์ที่จะพาเหยื่อไปยังเว็บไซต์ปลอม ซึ่งตัวเว็บไซต์ปลอมนี้จะมีฟอร์มให้เหยื่อป้อนโค้ดที่ได้รับมาจากผู้ชักชวนเพื่อทำการดาวน์โหลดซอฟต์แวร์ที่แอบอ้างว่าเป็น AI หรือ วิดีโอเกม ดังกล่าว ซึ่งจะมีทั้ง 2 เวอร์ชันทั้งในแบบ Windows และ macOS

ในเวอร์ชัน Windows นั้น ตัวติดตั้งจะถูกอ้างบนเว็บไซต์ว่าเป็นแอปพลิเคชันแบบ Windows Electron แต่ระหว่างที่กำลังจะดาวน์โหลดนั้น ตัวเว็บไซต์จะพาเหยื่อไปยังหน้ายืนยันตัวตนของ Cloudflare (แหล่งข่าวไม่ได้ระบุว่าเป็นหน้ายืนยันตัวตนปลอมหรือไม่) เพื่อเบี่ยงเบนความสนใจของเหยื่อขณะที่สคริปท์กำลังทำงานเพื่อดาวน์โหลดมัลแวร์ในรูปแบบไฟล์ MSI ลงมาติดตั้งบนเครื่องของเหยื่อ ซึ่งมัลแวร์ในเวอร์ชัน Windows นั้นทางทีมวิจัยไม่สามารถระบุได้อย่างชัดเจนในขณะนี้ว่าเป็นตัวไหน แต่คาดว่าเป็นมัลแวร์สำหรับการขโมยข้อมูลบนเครื่องของเหยื่อ หรือ Infostealer

ขณะที่เวอร์ชัน macOS นั้นจะเป็นไฟล์ติดตั้งในรูปแบบไฟล์ DMG (Apple Disk Image) ตรงตามที่อยู่บนเว็บไซต์ แต่เมื่อหลงเชื่อติดตั้งไปแล้ว ก็จะนำไปสู่การติดตั้งมัลแวร์แบบ Infostealer ชื่อดังอย่าง AMOS (หรือ Atomic Stealer) พร้อมทั้งทำการดาวน์โหลดและรันสคริปท์แบบ Shell เพื่อฝังตัวเองลงไปในส่วน Luanch Agent เพื่อที่จะรับประกันได้ว่ามัลแวร์จะทำงานในทุกครั้งที่มีการเปิดเครื่องขึ้นมา (Persistence) นอกจากนั้นตัวสคริปท์ยังมีการดาวน์โหลดและรัน Binary ที่มีชื่อว่า Objective-C/Swift เพื่อใช้ในการเก็บข้อมูลการใช้งานเครื่องของเหยื่อส่งกลับไปยังเซิร์ฟเวอร์อีกด้วย

นอกจากนั้นทางทีมวิจัยยังได้เปิดเผยส่วนหนึ่งของรายชื่อบริษัทปลอมจากแคมเปญนี้  โดยรายชื่อดังกล่าวนั้นมีดังนี้

• BeeSync (X accounts: @BeeSyncAI, @AIBeeSync)
• Buzzu (X accounts: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp)
• Cloudsign (X account: @cloudsignapp)
• Dexis (X account: @DexisApp)
• KlastAI (X account: มีการลิงก์กับบัญชี X ของ Pollens AI)
• Lunelior
• NexLoop (X account: @nexloopspace)
• NexoraCore
• NexVoo (X account: @Nexvoospace)
• Pollens AI (X accounts: @pollensapp, @Pollens_app)
• Slax (X accounts: @SlaxApp, @Slax_app, @slaxproject)
• Solune (X account: @soluneapp)
• Swox (X accounts: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox)
• Wasper (X accounts: @wasperAI, @WasperSpace)
• YondaAI (X account: @yondaspace)