เตือนภัย Windows ด่วน! Microsoft แฉมัลแวร์ทาง USB จ้องฉกคริปโท

#Microsoft #ทันหุ้น - ข้อมูลจาก Coindesk ได้ระบุว่า Microsoft ระบุในโพสต์บล็อกว่า มัลแวร์ที่แพร่กระจายผ่านทางแฟลชไดรฟ์ USB (USB sticks) ได้ทำการแพร่เชื้อเข้าสู่คอมพิวเตอร์ส่วนบุคคลระบบปฏิบัติการ Windows และมุ่งเป้าโจมตีไปที่กระเป๋าเงินคริปโทเคอร์เรนซี (Crypto wallets) มาตั้งแต่เดือนกุมภาพันธ์

บริษัทเรียกมัลแวร์นี้ว่า "Crypto clipper" และโปรแกรม Defender Antivirus ของบริษัทระบุเอกลักษณ์ของมันว่าเป็น Trojan:Win32/CryptoBandits

กระบวนการนี้เริ่มต้นขึ้นจากไดรฟ์ USB ที่ติดเชื้อซึ่งภายในบรรจุไฟล์ทางลัดที่เป็นอันตราย (Malicious shortcut file) หรือไฟล์ลิงก์เอาไว้ โดยในระบบปฏิบัติการ Windows ชื่อไฟล์ทางลัดจะลงท้ายด้วยนามสกุล ".lnk" และทำหน้าที่สั่งการให้ระบบปฏิบัติการเปิดโปรแกรม, โฟลเดอร์ หรือไฟล์เฉพาะเจาะจงที่จัดเก็บไว้ในที่อื่น ๆ บนคอมพิวเตอร์ของคุณ

เมื่อผู้ใช้งานเสียบไดรฟ์ดังกล่าวเข้ากับเครื่องและทำการคลิกที่ไฟล์ทางลัด มัลแวร์ประเภทที่รู้จักกันในชื่อ "Worm" (หนอนคอมพิวเตอร์) จะถูกติดตั้งลงบนเครื่อง PC ทันที และเมื่อถูกติดตั้งแล้ว มันจะทำหน้าที่สองสิ่งขนานกันไป: คือการรันรหัสโค้ดที่เป็นการขโมยกระเป๋าเงินคริปโทฯ จริงอย่างต่อเนื่อง และในขณะเดียวกันก็รอคอยให้มีการเสียบ USB อันใหม่ที่สะอาดเข้ากับเครื่อง PC เครื่องเดิมนั้น

ส่วนประกอบที่เป็นตัวขโมยกระเป๋าเงินจะทำหน้าที่เฝ้าติดตาม Clipboard (คลิปบอร์ด) ของ Windows ซึ่งเป็นหน่วยความจำชั่วคราวที่ซ่อนอยู่ซึ่งใช้สำหรับกระบวนการคัดลอกและวาง (Copy-and-paste operations) ในทุก ๆ ประมาณ 500 มิลลิวินาที โดยเมื่อผู้ใช้งานคัดลอก Seed phrase ของกระเป๋าเงินคริปโทฯ หรือกุญแจส่วนตัว (Private key) สำหรับกระเป๋าเงิน Bitcoin หรือ Ethereum มัลแวร์จะทำการดักจับข้อมูลดังกล่าวและส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีผ่านเครือข่าย Tor ซึ่งเป็นเครือข่ายซ้อนทับแบบโอเพนซอร์ส (Open-source overlay) ที่ให้บริการการสื่อสารแบบไม่เปิดเผยตัวตน นอกจากนี้มันยังทำการถ่ายภาพหน้าจอ (Screenshots) จำนวนห้าภาพ โดยเว้นระยะห่างกันภาพละสิบวินาที และส่งภาพเหล่านั้นแนบไปด้วยเช่นกัน

ความเสี่ยงไม่ได้สิ้นสุดลงเพียงแค่นั้น

หากผู้ใช้งานทำการคัดลอกที่อยู่กระเป๋าเงินของผู้รับ (Recipient address) เพื่อที่จะทำการส่งเงิน ตัวหนอนคอมพิวเตอร์นี้จะทำการแทนที่ที่อยู่ดังกล่าวด้วยที่อยู่ภายใต้การควบคุมของผู้โจมตีอย่างเงียบเชียบก่อนที่ผู้ใช้งานจะทำการกดวาง (Paste) ดังนั้น การโอนเงินดังกล่าวจึงจะถูกส่งไปยังผู้โจมตีโดยไม่มีการส่งสัญญาณเตือนทางสายตาใด ๆ ให้เห็นเลย

ท้ายที่สุด ตัวหนอนคอมพิวเตอร์จะขยายพันธุ์แพร่กระจายตัวเมื่อมีไดรฟ์ USB ที่สะอาดถูกเสียบเข้ามาในคอมพิวเตอร์ มันจะทำการสแกนไดรฟ์ USB ที่สะอาดนั้นเพื่อหาไฟล์ธรรมดาทั่วไป, เอกสาร Word, แผ่นงาน Excel และไฟล์ PDFs แล้วทำการแทนที่ไฟล์เหล่านั้นด้วยไฟล์ทางลัดอันใหม่ที่ใช้ชื่อเดียวกัน พร้อมกับแพร่เชื้อเข้าสู่ไดรฟ์ดังกล่าว จากนั้นวัฏจักรนี้ก็จะดำเนินต่อไป

Microsoft แนะนำให้ปิดการใช้งานระบบ AutoRun สำหรับสื่อบันทึกข้อมูลแบบถอดเสียบได้, บล็อกการทำงานของไฟล์ .lnk บนไดรฟ์ USB ผ่านนโยบายกลุ่ม (Group policy) และจำกัดโฮสต์สคริปต์ (Script hosts) เช่น wscript.exe และ cscript.exe นอกจากนี้ ลูกค้าของ Microsoft Defender ยังสามารถรันแบบสอบถามเพื่อสืบค้นหา (Hunting queries) เพื่อตรวจสอบกิจกรรมที่เกี่ยวข้อง รวมถึงการเชื่อมต่อไปยัง Tor proxy ท้องถิ่นบนพอร์ต 9050 ได้เช่นกัน

Microsoft ได้เผยแพร่รายการดัชนีบ่งชี้ความเสียหาย (Indicators of compromise) ซึ่งรวมถึงค่า File hashes และโดเมน .onion ที่ถูกใช้เป็นเซิร์ฟเวอร์สั่งการและควบคุม (Command-and-control servers) เพื่อให้ทีมรักษาความปลอดภัยทางไซเบอร์นำไปใช้ในการตรวจสอบเครือข่ายของตนเองเทียบเคียงได้

ที่มา https://www.coindesk.com/tech/2026/06/19/microsoft-found-malware-that-hijacks-crypto-wallets-and-spreads-through-usb-sticks