Microsoft ตรวจพบมัลแวร์ชนิดใหม่ล่าสุดชื่อ Crypto Clipper ที่มีความสามารถในการแพร่กระจายตัวเองผ่าน USB drives และใช้เครือข่าย Tor เพื่อสื่อสารกับเซิร์ฟเวอร์ผู้โจมตีโดยไม่ให้ถูกตรวจจับ โดยมีเป้าหมายหลักคือการขโมยข้อมูลกระเป๋าคริปโทเคอร์เรนซี
Crypto Clipper ทำงานโดยการเฝ้าดูคลิปบอร์ดของเครื่องเหยื่อ หากพบรูปแบบที่ตรงกับที่อยู่กระเป๋าคริปโทหรือ seed phrase (รหัสกู้คืน 12 หรือ 24 คำ) มัลแวร์จะเปลี่ยนที่อยู่เหล่านั้นเป็นที่อยู่กระเป๋าของผู้โจมตีทันที ทำให้เงินที่ส่งมาเปลี่ยนเส้นทางไปยังผู้ไม่หวังดี นอกจากนี้ยังมีการถ่าย screenshot ถึง 5 ภาพในช่วงเวลา 10 วินาทีเพื่อใช้เป็นข้อมูลประกอบ
จุดเด่นของ Crypto Clipper คือการใช้โปรโตคอล SOCKS5 proxy เพื่อเชื่อมต่อผ่าน Tor network ซึ่งช่วยปกปิดร่องรอยการสื่อสารระหว่างเครื่องเหยื่อกับเซิร์ฟเวอร์ของผู้โจมตี ทำให้การติดตามเส้นทางทำได้ยากมาก
Microsoft เปิดเผยในบล็อกโพสต์ด้านความปลอดภัยว่า "การทำงานของคลิปเปอร์นี้โดดเด่นเพราะไม่ต้องพึ่งพาตัวติดตั้งแบบดั้งเดิมหรือโครงสร้างพื้นฐาน C2 ที่ใช้ IP แบบเปิดเผย แต่มันใช้ Tor client แบบพกพา ส่งข้อมูลผ่าน SOCKS5 proxy ในเครื่อง และผสานการขโมยข้อมูลเข้ากับการรันโค้ดระยะไกล เปลี่ยนเครื่องมือขโมยที่ขับเคลื่อนด้วยผลประโยชน์ทางการเงินให้กลายเป็น backdoor น้ำหนักเบา"
ที่มา:
- Ars Technica — Microsoft discovers new lightweight backdoor that steals cryptocurrency
- Microsoft Security Blog — Crypto Clipper
มุมมองของผู้เขียน: การที่มัลแวร์สามารถแพร่กระจายผ่าน USB และใช้ Tor ซ่อนร่องรอยเป็นเรื่องที่น่ากังวลมาก เพราะ USB ยังคงเป็นสื่อที่ใช้กันทั่วไปโดยเฉพาะในองค์กรและสำนักงาน สิ่งที่อันตรายคือ Crypto Clipper เป็นมัลแวร์ที่ผสมผสานทั้งการขโมยข้อมูลและการรันโค้ดระยะไกลไว้ด้วยกัน ทำให้มันกลายเป็น backdoor ที่อันตรายกว่าแค่ clipper ทั่วไป สำหรับคนไทยที่ถือคริปโต ควรระวังการเสียบ USB ที่ไม่ทราบที่มาและใช้กระเป๋าคริปโตที่รองรับการยืนยันหลายชั้น (multi-sig) เพื่อเพิ่มความปลอดภัย
