มัลแวร์ประเภทดูดเงินจากบัญชีธนาคาร หรือ Banking Trojan นั้นเรียกได้ว่าก่อปัญหาให้กับเหยื่อได้อย่างชัดแจ้งและเป็นรูปธรรมที่สุด สร้างความลำบาก และเจ็บแค้นทำให้หลายคนอยากให้ถูกลงโทษ หรือถูกเปิดโปงสักวันหนึ่ง สำหรับข่าวนี้นั้นอาจเป็นที่ถูกใจและสะใจของผู้อ่านหลายคน
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตัวโค้ดต้นฉบับ (Source Code) ของมัลแวร์ ERMAC (ไม่มีส่วนเกี่ยวข้องกับตัวละครจากวิดีโอเกมส์ต่อสู้ชื่อดัง Mortal Kombat แต่อย่างใด) เวอร์ชัน 3.0 ได้ถูกขโมยออกมาได้ด้วยฝีมือของทีมวิจัย Hunt.io ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการสืบสวนหาผู้อยู่เบื้องหลังภัยไซเบอร์ต่าง ๆ โดยทางทีมวิจัยได้กล่าวว่าตัว Source Code นั้นทางทีมวิจัยได้มาจากตัวโฟลเดอร์ที่บังเอิญถูกเปิดเป็นสาธารณะบนเซิร์ฟเวอร์ที่มีหมายเลข IP คือ 141.164.62[.]236:443 ซึ่งนอกจากตัว Source Code แล้ว ทางทีมวิจัยยังพบองค์ประกอบของตัวมัลแวร์อีกมากมาย ไม่ว่าจะเป็น
นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการเล่นงานเหยื่ออีกมากมาย ไม่ว่าจะเป็นการยิงฟอร์มลงเครื่อง (Form Injection) และ การเข้ารหัสในรูปแบบ AES-CBC เพื่อสื่อสารระหว่างเครื่องของเหยื่อกับเซิร์ฟเวอร์ C2 อีกด้วย
แต่ในขณะเดียวกันตัว Source Code ก็ได้เปิดช่องโหว่ต่าง ๆ อีกมากมาย ไม่ว่าจะเป็น การเข้ารหัสกุญแจ JWT Secret แบบค่าคงที่ (Hardcoded), มีการใช้รหัสเริ่มต้น (Default Password) สำหรับการเข้าใช้งานด้วยสิทธิ์สูงสุดในระดับ Root, และ การลงทะเบียนเพื่อใช้งานแผงควบคุมสำหรับผู้ดูแลระบบ (Admin Panel) เป็นรูปแบบการลงทะเบียนแบบเปิด (Open Registration) นอกจากนั้นตัวโครงสร้างพื้นฐานยังมีช่องโหว่อีกมากมายซึ่งทางทีมวิจัยได้กล่าวว่า ง่ายต่อการตรวจสอบ ตรวจจับ และเข้าขัดขวางการทำงานอย่างมาก
ภาพจาก : https://thehackernews.com/2025/08/ermac-v30-banking-trojan-source-code.html
สำหรับมัลแวร์ ERMAC นั้น เป็นมัลแวร์ที่มีความสามารถในการขโมยข้อมูลที่มากมาย ไม่ว่าจะเป็นการแอบใช้กล้องหน้าบนเครื่องของเหยื่อเพื่อถ่ายรูปเหยื่อ, การดักจับหัวจดหมาย (Subject Line) ของอีเมลที่บน Gmail, ใช้หน้าจอซ้อนกับแอปด้านการเงินเพื่อหลอกเก็บรหัสผ่าน, การลักลอบขโมยรายชื่อผู้ติดต่อ, การขโมยข้อความ SMS ไปจนถึงความสามารถอื่น ๆ อย่างเช่น การติดตั้งและลบแอปพลิเคชันเอง, การใช้งานเครื่องของเหยื่อเพื่อโทรหาผู้อื่น หรือเปลี่ยนปลายทางสาย (Forward) ไปยังแฮกเกอร์เมื่อมีผู้โทรเข้า, และ การเปลี่ยนการแสดงผลของการแจ้งเตือนบนโทรศัพท์ (Push Notification) ซึ่งตัวเวอร์ชันแรกของมัลแวร์นั้นถูกตรวจพบโดยทีมวิจัยจาก ThreatFabric บริษัทผู้เชี่ยวชาญด้านการจัดการกับการฉ้อโกงออนไลน์ ในช่วงปี ค.ศ. 2021 (พ.ศ. 2565) และได้พัฒนามาถึงเวอร์ชัน 3.0 เป็นที่เรียบร้อยแล้ว ซึ่งแคมเปญของเวอร์ชันปัจจุบันได้มุ่งเน้นการโจมตีไปยังแอปพลิเคชันด้านการเงินและธนาคาร, แอปสำหรับการช็อปปิ้ง และแอปพลิเคขันด้านคริปโตเคอร์เรนซีมากกว่า 700 ตัว
|