ที่นี่ก็ไม่ปลอดภัย ! พบแฮกเกอร์ปล่อยมัลแวร์ผ่านเกมแบบ Early Release บน Steam อีกแล้ว

การดาวน์โหลดวิดีโอเกมจากแพลตฟอร์มที่ถูกลิขสิทธิ์นั้น เป็นที่ยอมรับโดยทั่วไปว่า มีความปลอดภัยที่สูงเนื่องจากเป็นไฟล์จากนักพัฒนาโดยตรง และมักถูกตรวจสอบแล้วโดยทางแพลตฟอร์ม แต่ในปัจจุบันกลับมีข่าวที่มีผู้ดาวน์โหลดวิดีโอเกมจากแพลตฟอร์มถูกลิขสิทธิ์กลับต้องติดมัลแวร์ มากขึ้นเรื่อย ๆ เช่นข่าวนี้

จากรายงานบนเว็บไซต์ของผู้พัฒนาเครื่องมือต่อต้านมัลแวร์เจ้าดัง Malwarebytes ได้กล่าวถึงการตรวจพบแคมเปญการปล่อยมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer บนแพลตฟอร์มซื้อขายวิดีโอเกมชื่อดังอย่าง Steam โดยแคมเปญดังกล่าวนั้นเป็นผลงานของกลุ่มแฮกเกอร์ที่มีชื่อว่า EncryptHub หรือเป็นที่รู้จักในอีกชื่อหนึ่งว่า Larva-208 ด้วยการแอบแทรกไฟล์มัลแวร์ลงไปบนตัววิดีโอเกมที่มีชื่อว่า Chemia ซึ่งเป็นวิดีโอเกมแนวผจญภัยบนโลกภายหลังภัยพิบัติ ที่ให้บริการอยู่บนแพลตฟอร์ม Steam ซึ่งในขณะนี้ยังไม่ได้ปล่อยให้จัดจำหน่ายอย่างเต็มตัว แต่ยังอยู่ในช่วงในบริการปล่อยให้ผู้ใช้งานได้ทดลองเล่นก่อนแบบจำกัดจำนวน หรือ Early Access

ทีมวิจัยจากองค์กร Proactive Defense Against Future Threats (PRODAFT) ได้ออกมาเปิดเผยถึงเหตุการณ์การแอบแทรกไฟล์มัลแวร์ดังกล่าวว่า เกิดขึ้นในช่วงวันที่ 22 กรกฎาคม ที่ผ่านมา โดยแฮกเกอร์กลุ่มดังกล่าวได้ทำการแทรกไฟล์มัลแวร์นกต่อ (Loader) สำหรับดาวน์โหลดโทรจันไว้บนไฟล์เกม ให้ทำงานร่วมกับวิดีโอเกมตัวจริงขณะที่ถูกรันใช้งานอยู่

ในด้านการทำงานนั้น ไฟล์ Loader จะทำหน้าที่สร้างฐานเพื่อให้ตัวมัลแวร์สามารถคงอยู่บนระบบได้ (Persistence) และใช้เป็นเครื่องมือในการดาวน์โหลดไฟล์มัลแวร์ลงมา โดยไฟล์มัลแวร์ที่เกี่ยวข้องบนเแคมเปญนี้นั้นมีอยู่ 3 ชนิด คือ Fickle Stealer, HijackLoader, และ Vidar Stealer โดยแต่ละชนิดนั้นก็จะมีจุดเด่นในการทำงานที่แตกต่างกัน

• Vidar Stealer เป็นมัลแวร์ประเภทเช่าใช้งาน (MaaS หรือ Malware-as-a-Service) ที่ใช้งานเครือข่ายสาธารณะอย่างเช่น โซเชียลมีเดีย, แพลตฟอร์มการสื่อสาร, และ แพลตฟอร์มซื้อขายสินค้าดิจิทัล อย่าง Steam เป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control)
• HijackLoader เป็นมัลแวร์ประเภทนกต่อ ซึ่งใช้ในการเป็นฐานการปล่อยมัลแวร์ตัวอื่น ๆ โดยเฉพาะอย่างยิ่งมัลแวร์ประเภทโทรจัน เช่น Danabot และ RedLine Stealer
• Fickle Stealer เป็นมัลแวร์ Infostealer ตัวใหม่ที่ใช้งานสคริปท์ PowerShell เพื่อหลีกหนีการถูกตรวจสอบจากระบบ User Account Control (UAC) รวมทั้งมีความสามารถในการขโมยข้อมูลอ่อนไหวต่าง ๆ เช่น ข้อมูลระบบ, รหัสผ่าน, ข้อมูลเกี่ยวกับคริปโตเคอร์เรนซี, ข้อมูลที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์ เป็นต้น

นอกจากนั้นแล้วทางทีมวิจัยยังได้เปิดเผยข้อมูลเชิงรายละเอียดของมัลแวร์ต่าง ๆ เพื่อใช้ในการตรวจสอบ และอาจสามารถใช้ในการบล็อกการทำงานได้ เช่น

โดเมนที่เกี่ยวข้อง

soft-gets[.]com

reaitek[.]com

safesurf.fastdomain-uoemathhvq.workers[.]dev

Hash ของมัลแวร์นกต่อสำหรับดาวน์โหลด Fickle

Ed076c27b420bfa66c251488b4121913fa461367a60c5fa32cee3953efcae32b

Hash ของมัลแวร์ Fickle

6fb7fd9763d6b269793c80bbc03a1be358390781af4b698fba1591cb8dbb8825

Hash ของมัลแวร์ Vidar

2cd8c0e75cf76381f06dfe465a542e52eefa713b0bea2557763e0c0c45b21481

Hash ของมัลแวร์ HijackLoader

9a733b2de84e2bf466287abd034b04b18c8c269535606e8f6403eee2a3b288c4

12935315254175719cbbaad0b213204ddebd4100ffc551d54f8cf39ced1be227