โดนแล้ว ! Source Code มัลแวร์ดูดเงิน ERMAC V3.0 รั่วไหล เปิดโปงโครงสร้างเครือข่ายจารกรรมหมดเปลือก

มัลแวร์ประเภทดูดเงินจากบัญชีธนาคาร หรือ Banking Trojan นั้นเรียกได้ว่าก่อปัญหาให้กับเหยื่อได้อย่างชัดแจ้งและเป็นรูปธรรมที่สุด สร้างความลำบาก และเจ็บแค้นทำให้หลายคนอยากให้ถูกลงโทษ หรือถูกเปิดโปงสักวันหนึ่ง สำหรับข่าวนี้นั้นอาจเป็นที่ถูกใจและสะใจของผู้อ่านหลายคน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตัวโค้ดต้นฉบับ (Source Code) ของมัลแวร์ ERMAC (ไม่มีส่วนเกี่ยวข้องกับตัวละครจากวิดีโอเกมส์ต่อสู้ชื่อดัง Mortal Kombat แต่อย่างใด) เวอร์ชัน 3.0 ได้ถูกขโมยออกมาได้ด้วยฝีมือของทีมวิจัย Hunt.io ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการสืบสวนหาผู้อยู่เบื้องหลังภัยไซเบอร์ต่าง ๆ โดยทางทีมวิจัยได้กล่าวว่าตัว Source Code นั้นทางทีมวิจัยได้มาจากตัวโฟลเดอร์ที่บังเอิญถูกเปิดเป็นสาธารณะบนเซิร์ฟเวอร์ที่มีหมายเลข IP คือ 141.164.62[.]236:443 ซึ่งนอกจากตัว Source Code แล้ว ทางทีมวิจัยยังพบองค์ประกอบของตัวมัลแวร์อีกมากมาย ไม่ว่าจะเป็น

• ระบบหลังบ้าน (Backend) ที่ถูกสร้างขึ้นบนภาษา PHP และเฟรมเวิร์ก Laravel ซึ่งในส่วนนี้จะทำหน้าที่เป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในการจัดการกับตัวเครื่องและข้อมูลต่าง ๆ บนเครื่องเหยื่อ เช่น การเข้าถึงข้อมูลที่ถูกแฮก, การเข้าถึงข้อความสั้น (SMS หรือ Short Message Service), การเข้าถึงบัญชีที่ถูกขโมย, และข้อมูลของอุปกรณ์
• ระบบหน้าบ้าน (Frontend) ที่ถูกสร้างขึ้นบนภาษา React ส่วนนี้จะเป็นส่วนที่แฮกเกอร์ที่ใช้งาน สามารถเข้าถึง และควบคุมเครื่องของเหยื่อผ่านทางแผงควบคุม (Panel) เช่น การส่งคำสั่ง หรือ การสร้าง และควบคุมหน้าจอซ้อน (Overlay)
• ระบบเซิร์ฟเวอร์สำหรับการรองรับไฟล์ที่ถูกขโมยมา (Exfiltration) ที่ถูกเขียนขึ้นบนภาษา Golang
• ERMAC Backdoor หรือ ประตูหลังของระบบ (Backdoor) ที่ตัวมัลแวร์เปิดไว้ ซึ่งในส่วนนี้ถูกสร้างขึ้นบนภาษา Kotlin ซึ่งในส่วนนี้จะใช้ในการส่งคำสั่งต่าง ๆ เพื่อเข่าควบคุมเครื่องของเหยื่อ รวมทั้งมีการตั้งค่าให้มัลแวร์ไม่ทำงานบนเครื่องที่ใช้งานอยู่ในเขตอดีตสหภาพโซเวียต หรือ Commonwealth of Independent States (CIS)
• EARMAC Builder เป็นเครื่องมือสำหรับสร้างแคมเปญมัลแวร์ เช่น สร้างแอปพลิเคชันปลอม, URL สำหรับเซิร์ฟเวอร์, และการตั้งค่าสำหรับ Backdoor บนระบบ Android

นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการเล่นงานเหยื่ออีกมากมาย ไม่ว่าจะเป็นการยิงฟอร์มลงเครื่อง (Form Injection) และ การเข้ารหัสในรูปแบบ AES-CBC เพื่อสื่อสารระหว่างเครื่องของเหยื่อกับเซิร์ฟเวอร์ C2 อีกด้วย

แต่ในขณะเดียวกันตัว Source Code ก็ได้เปิดช่องโหว่ต่าง ๆ อีกมากมาย ไม่ว่าจะเป็น การเข้ารหัสกุญแจ JWT Secret แบบค่าคงที่ (Hardcoded), มีการใช้รหัสเริ่มต้น (Default Password) สำหรับการเข้าใช้งานด้วยสิทธิ์สูงสุดในระดับ Root, และ การลงทะเบียนเพื่อใช้งานแผงควบคุมสำหรับผู้ดูแลระบบ (Admin Panel) เป็นรูปแบบการลงทะเบียนแบบเปิด (Open Registration) นอกจากนั้นตัวโครงสร้างพื้นฐานยังมีช่องโหว่อีกมากมายซึ่งทางทีมวิจัยได้กล่าวว่า ง่ายต่อการตรวจสอบ ตรวจจับ และเข้าขัดขวางการทำงานอย่างมาก

ภาพจาก : https://thehackernews.com/2025/08/ermac-v30-banking-trojan-source-code.html

สำหรับมัลแวร์ ERMAC นั้น เป็นมัลแวร์ที่มีความสามารถในการขโมยข้อมูลที่มากมาย ไม่ว่าจะเป็นการแอบใช้กล้องหน้าบนเครื่องของเหยื่อเพื่อถ่ายรูปเหยื่อ, การดักจับหัวจดหมาย (Subject Line) ของอีเมลที่บน Gmail, ใช้หน้าจอซ้อนกับแอปด้านการเงินเพื่อหลอกเก็บรหัสผ่าน, การลักลอบขโมยรายชื่อผู้ติดต่อ, การขโมยข้อความ SMS ไปจนถึงความสามารถอื่น ๆ อย่างเช่น การติดตั้งและลบแอปพลิเคชันเอง, การใช้งานเครื่องของเหยื่อเพื่อโทรหาผู้อื่น หรือเปลี่ยนปลายทางสาย (Forward) ไปยังแฮกเกอร์เมื่อมีผู้โทรเข้า, และ การเปลี่ยนการแสดงผลของการแจ้งเตือนบนโทรศัพท์ (Push Notification) ซึ่งตัวเวอร์ชันแรกของมัลแวร์นั้นถูกตรวจพบโดยทีมวิจัยจาก ThreatFabric บริษัทผู้เชี่ยวชาญด้านการจัดการกับการฉ้อโกงออนไลน์ ในช่วงปี ค.ศ. 2021 (พ.ศ. 2565) และได้พัฒนามาถึงเวอร์ชัน 3.0 เป็นที่เรียบร้อยแล้ว ซึ่งแคมเปญของเวอร์ชันปัจจุบันได้มุ่งเน้นการโจมตีไปยังแอปพลิเคชันด้านการเงินและธนาคาร, แอปสำหรับการช็อปปิ้ง และแอปพลิเคขันด้านคริปโตเคอร์เรนซีมากกว่า 700 ตัว