ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ แคมเปญโจมตี Crypto Clipper Windows

แคมเปญโจมตี Crypto Clipper Windows

โดย Mezo ใน มัลแวร์, นักขโมย
แปลเป็น:

นักวิจัยด้านความปลอดภัยได้เปิดเผยรายละเอียดของการปฏิบัติการขโมยคริปโตเคอร์เรนซีที่ซับซ้อนบนระบบปฏิบัติการ Windows ซึ่งเริ่มดำเนินการมาตั้งแต่เดือนกุมภาพันธ์ 2026 แคมเปญนี้ใช้มัลแวร์ตรวจสอบคลิปบอร์ดที่สามารถแพร่กระจายตัวเองได้ และใช้เครือข่ายนิรนาม Tor เพื่อปกปิดโครงสร้างพื้นฐานการสื่อสาร

แตกต่างจากมัลแวร์ทั่วไปที่ใช้ตัวติดตั้งมาตรฐานหรือเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ที่เปิดเผยต่อสาธารณะ มัลแวร์นี้ใช้ไคลเอนต์ Tor แบบพกพาและส่งข้อมูลทั้งหมดผ่านพร็อกซี SOCKS5 ในเครื่อง ด้วยการผสมผสานความสามารถในการขโมยคริปโตเคอร์เรนซี การดึงข้อมูล และการเรียกใช้โค้ดจากระยะไกล มัลแวร์นี้จึงทำหน้าที่ไม่เพียงแต่เป็นตัวตัดข้อมูล แต่ยังเป็นแบ็กดอร์ขนาดเล็กอีกด้วย

วิธีการทำงานของมัลแวร์ Clipper

มัลแวร์ Clipper ถูกออกแบบมาเพื่อตรวจสอบกิจกรรมการคัดลอกข้อมูลในคลิปบอร์ดของเหยื่ออย่างเงียบๆ และดักจับข้อมูลสำคัญที่ถูกคัดลอกลงในหน่วยความจำ วัตถุประสงค์หลักคือการบิดเบือนธุรกรรมสกุลเงินดิจิทัล โดยการระบุที่อยู่กระเป๋าเงินที่เชื่อมโยงกับรูปแบบบล็อกเชนที่รู้จัก และแทนที่ด้วยที่อยู่ทางเลือกที่ผู้โจมตีควบคุมได้ ส่งผลให้เงินที่ตั้งใจจะส่งถึงผู้รับที่ถูกต้องสามารถถูกโอนย้ายโดยที่เหยื่อไม่รู้ตัว

แคมเปญนี้อาศัย Windows Script Host และฟังก์ชันการทำงานแบบ ActiveX เพื่อเรียกใช้พร็อกซี Tor แบบฝังตัวและสื่อสารกับเซิร์ฟเวอร์ C2 ของบริการที่ซ่อนอยู่ มัลแวร์จะตรวจสอบข้อมูลในคลิปบอร์ดอย่างต่อเนื่อง บันทึกภาพหน้าจอ ขโมยข้อมูลที่เกี่ยวข้องกับสกุลเงินดิจิทัล และแทนที่ที่อยู่กระเป๋าเงินแบบเรียลไทม์

ห่วงโซ่การติดเชื้อและการทำงานของเวิร์มแบบ USB

การโจมตีเริ่มต้นด้วยการแจกจ่ายไฟล์ทางลัด Windows (LNK) ที่เป็นอันตรายผ่านอุปกรณ์จัดเก็บข้อมูล USB แบบถอดได้ เมื่อเหยื่อเปิดทางลัดเหล่านี้ ส่วนประกอบเวิร์มจะทำงาน มัลแวร์จะตรวจสอบก่อนว่าระบบเคยติดเชื้อมาก่อนหรือไม่ และจะดาวน์โหลดเพย์โหลดที่เหลือก็ต่อเมื่อตรวจไม่พบการติดเชื้อมาก่อนเท่านั้น

มัลแวร์ LNK จะค้นหาไฟล์เอกสารที่ใช้กันทั่วไปในอุปกรณ์ USB ที่เชื่อมต่ออยู่ เช่น ไฟล์ DOC, XLSX และ PDF เมื่อพบไฟล์เหล่านั้นแล้ว มันจะถูกซ่อนและแทนที่ด้วยไฟล์ทางลัดที่เป็นอันตรายซึ่งมีชื่อเดียวกัน เทคนิคการหลอกลวงนี้จะเพิ่มโอกาสที่ผู้ใช้จะเรียกใช้มัลแวร์โดยไม่รู้ตัวขณะพยายามเปิดเอกสารที่ดูเหมือนจะเป็นเอกสารปกติ

นอกเหนือจากการเจาะระบบในเบื้องต้นแล้ว เวิร์มยังทำหน้าที่แพร่เชื้อไปยังอุปกรณ์ USB อื่นๆ ที่ยังไม่ติดเชื้อ นอกจากนี้ยังสร้างความคงอยู่ถาวรโดยการสร้างงานที่กำหนดเวลาไว้สำหรับทั้งเวิร์มและส่วนประกอบที่ขโมยข้อมูล

การหลบหลีกขั้นสูงและการดำเนินการคำสั่งอย่างต่อเนื่อง

ส่วนประกอบ Clipper ใช้ WScript และ ActiveXObject เพื่อโต้ตอบโดยตรงกับระบบปฏิบัติการ เพื่อลดโอกาสในการตรวจจับ มัลแวร์จะตรวจสอบกระบวนการทำงานและยุติการทำงานเองหาก Task Manager กำลังทำงานอยู่

ในขั้นตอนสุดท้ายของการทำงาน มัลแวร์จะเรียกใช้ไฟล์ไบนารีของ Tor ที่เปลี่ยนชื่อแล้วในหน้าต่างที่ซ่อนอยู่ จากนั้นมัลแวร์จะสร้างตัวระบุเหยื่อที่ไม่ซ้ำกันและลงทะเบียนกับโครงสร้างพื้นฐานระยะไกล หลังจากลงทะเบียนแล้ว มันจะเข้าสู่ลูปการทำงานอย่างต่อเนื่อง โดยตรวจสอบคำสั่งจากเซิร์ฟเวอร์ C2 พร้อมกับตรวจสอบเนื้อหาในคลิปบอร์ดทุกๆ ประมาณ 500 มิลลิวินาที

นอกจากจะเก็บรวบรวมข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี วลีรหัส และรหัสส่วนตัวแล้ว มัลแวร์ยังจับภาพหน้าจอและส่งผ่านเครือข่าย Tor อีกด้วย หากเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ตอบกลับด้วยคำสั่ง EVAL โค้ดที่ผู้โจมตีป้อนจะถูกเรียกใช้งานแบบไดนามิกบนระบบที่ถูกบุกรุก ซึ่งจะขยายขีดความสามารถของภัยคุกคามอย่างมาก

ตัวชี้วัดสำคัญและข้อเสนอแนะด้านการป้องกัน

ทีมรักษาความปลอดภัยควรให้ความสำคัญกับเทคนิคการตรวจจับพฤติกรรมมากกว่าการพึ่งพาเฉพาะลายเซ็นมัลแวร์แบบคงที่ ควรให้ความสนใจเป็นพิเศษกับกิจกรรมการจับภาพหน้าจอที่น่าสงสัยโดยใช้ PowerShell และการใช้งานเครื่องมือเขียนสคริปต์ของ Windows เช่น WScript หรือ CScript ในลักษณะที่ผิดปกติ เพื่อเรียกใช้ยูทิลิตี้ต่างๆ เช่น curl, cmd.exe, PowerShell หรือไฟล์ปฏิบัติการอื่นๆ ที่ไม่คาดคิด

มาตรการป้องกันที่แนะนำ ได้แก่:

  • ปิดใช้งานฟังก์ชัน AutoRun และ AutoPlay สำหรับสื่อบันทึกข้อมูลแบบถอดได้ทั้งหมด บล็อกการเรียกใช้ไฟล์ LNK จากอุปกรณ์ USB ผ่าน Group Policy Objects (GPOs) และจำกัดการใช้งาน wscript.exe และ cscript.exe ที่ไม่จำเป็น
  • ระบบตรวจสอบที่จัดการธุรกรรมทางการเงินหรือสกุลเงินดิจิทัล เพื่อตรวจจับกิจกรรมที่ผิดปกติในคลิปบอร์ด พฤติกรรมการจับภาพหน้าจอโดยไม่ได้รับอนุญาต และการสื่อสารเครือข่ายที่น่าสงสัยที่เกี่ยวข้องกับ Tor

เหตุใดภัยคุกคามนี้จึงโดดเด่น

แคมเปญนี้แสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของมัลแวร์ที่มุ่งหวังผลกำไรทางการเงิน โดยการผสมผสานการแพร่กระจายเวิร์มผ่าน USB การโจรกรรมข้อมูลในคลิปบอร์ด การสื่อสารที่ซ่อนเร้นผ่าน Tor การขโมยภาพหน้าจอ และการเรียกใช้โค้ดจากระยะไกล เข้าไว้ในชุดเครื่องมือเดียว ผู้ดำเนินการได้สร้างภัยคุกคามที่หลากหลายซึ่งสามารถขโมยสินทรัพย์คริปโตเคอร์เรนซีและรักษาการเข้าถึงระบบที่ติดเชื้อในระยะยาวได้ การใช้โครงสร้างพื้นฐานบริการที่ซ่อนอยู่ยิ่งทำให้การตรวจจับและการกำจัดทำได้ยากขึ้น ดังนั้นการเฝ้าระวังพฤติกรรมเชิงรุกจึงเป็นกลยุทธ์การป้องกันที่สำคัญ

กระทู้ที่เกี่ยวข้อง

แคมเปญโจมตี FrostArmada ของ APT28

ภัยคุกคามขั้นสูงที่คงอยู่ (APT), มัลแวร์, ฟิชชิ่ง
ปฏิบัติการจารกรรมทางไซเบอร์ที่ซับซ้อน ซึ่งเชื่อว่าเป็นฝีมือของกลุ่มภัยคุกคาม APT28 ที่เชื่อมโยงกับรัสเซีย หรือที่รู้จักกันในชื่อ Forest Blizzard ได้ใช้ประโยชน์จากโครงสร้างพื้นฐานเครือข่ายที่เปราะบางเพื่อทำการสอดแนมในวงกว้าง ปฏิบัติการนี้เริ่มดำเนินการมาอย่างน้อยตั้งแต่เดือนพฤษภาคม 2025 โดยใช้ชื่อรหัสว่า FrostArmada มุ่งเน้นไปที่การเจาะระบบเราเตอร์ MikroTik และ TP-Link ที่ไม่ปลอดภัย...

แคมเปญโจมตี PurpleBravo

มัลแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)
นักวิเคราะห์ข่าวกรองภัยคุกคามได้ระบุที่อยู่ IP จำนวน 3,136 รายการที่เชื่อมโยงกับเป้าหมายที่เป็นไปได้ของแคมเปญ Contagious Interview เชื่อว่าปฏิบัติการนี้เกี่ยวข้องกับองค์กรเป้าหมาย 20...

แคมเปญโจมตีแรนซัมแวร์ Medusa

ภัยคุกคามขั้นสูงที่คงอยู่ (APT), แรนซัมแวร์
กลุ่มแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือที่รู้จักกันในชื่อ Lazarus Group ซึ่งถูกติดตามในชื่อ Diamond Sleet และ Pompilus ถูกพบว่าใช้แรนซัมแวร์ Medusa ในการโจมตีองค์กรที่ไม่ระบุชื่อแห่งหนึ่งในตะวันออกกลาง นักวิจัยด้านความปลอดภัยยังพบความพยายามบุกรุกที่ไม่ประสบความสำเร็จโดยกลุ่มแฮกเกอร์เดียวกันนี้ที่มุ่งเป้าไปที่องค์กรด้านการดูแลสุขภาพในสหรัฐอเมริกา Medusa ดำเนินการภายใต้โมเดลแรนซัมแวร์แบบบริการ...

แคมเปญโจมตีการขโมยข้อมูลเว็บไซต์

เว็บไซต์อันธพาล
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญการขโมยข้อมูลบัตรเครดิตขนาดใหญ่ที่ยังคงดำเนินอยู่ตั้งแต่เดือนมกราคม 2022 โดยมุ่งเป้าไปที่องค์กรธุรกิจขนาดใหญ่ที่ใช้เครือข่ายการชำระเงินหลักๆ เช่น...

ปฏิบัติการโอลาลัมโป แคมเปญโจมตี

ภัยคุกคามขั้นสูงที่คงอยู่ (APT), มัลแวร์
กลุ่มก่อการร้ายไซเบอร์ MuddyWater ซึ่งได้รับการสนับสนุนจากรัฐบาลอิหร่าน และยังมีชื่อเรียกอื่นๆ เช่น Earth Vetala, Mango Sandstorm และ MUDDYCOAST ได้เปิดตัวปฏิบัติการโจมตีทางไซเบอร์ครั้งใหม่ภายใต้ชื่อปฏิบัติการ Olalampo โดยมุ่งเป้าไปที่องค์กรและบุคคลต่างๆ ในภูมิภาคตะวันออกกลางและแอฟริกาเหนือ (MENA) เป็นหลัก ตรวจพบครั้งแรกเมื่อวันที่ 26 มกราคม 2026 แคมเปญนี้ได้นำมัลแวร์ตระกูลใหม่หลายตระกูลมาใช้...

แคมเปญโจมตี IoT ด้วยบอทเน็ต RondoDox

บอตเน็ต
นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญโจมตีต่อเนื่องยาวนานประมาณเก้าเดือน ซึ่งมุ่งเป้าไปที่อุปกรณ์ Internet of Things (IoT) และแอปพลิเคชันบนเว็บอย่างต่อเนื่อง วัตถุประสงค์ของการปฏิบัติการนี้คือการเกณฑ์ระบบที่เปราะบางเข้าสู่บอทเน็ตที่เรียกว่า RondoDox ซึ่งแสดงให้เห็นถึงความอดทนและความเชี่ยวชาญในการปฏิบัติการของผู้โจมตี React2Shell: จุดเริ่มต้นที่สำคัญ ณ เดือนธันวาคม 2025...
กำลังโหลด...