405/68 (IT) ประจำวันพฤหัสบดีที่ 16 ตุลาคม 2568
FortiGuard Labs บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ ได้ออกมาเปิดเผยถึงแคมเปญการโจมตีระลอกใหม่ที่กำลังแพร่ระบาดมัลแวร์ขโมยข้อมูล (Infostealer) ที่มีชื่อว่า “Stealit” โดยผู้ไม่หวังดีใช้วิธีสร้างโปรแกรมติดตั้งเกมและแอปพลิเคชัน VPN ปลอมขึ้นมา แล้วนำไปอัปโหลดไว้บนเว็บไซต์ฝากไฟล์ที่ได้รับความนิยมอย่าง Mediafire และ Discord เพื่อหลอกล่อให้ผู้ใช้งานทำการดาวน์โหลดไปติดตั้ง เมื่อเหยื่อหลงเชื่อและติดตั้งโปรแกรมดังกล่าวลงบนเครื่องคอมพิวเตอร์ มัลแวร์จะเริ่มทำงานในทันที โดยใช้เทคนิคการซ่อนตัวที่ซับซ้อนเพื่อหลบเลี่ยงการตรวจจับจากโปรแกรมแอนตี้ไวรัสและทำให้การวิเคราะห์เป็นไปได้ยาก
เป้าหมายหลักของมัลแวร์ Stealit คือการขโมยข้อมูลสำคัญที่ถูกบันทึกไว้ในเครื่องของเหยื่อ ตั้งแต่ข้อมูลที่อยู่ในเว็บบราวเซอร์ เช่น Google Chrome และ Microsoft Edge หรือข้อมูลบัญชีจากแพลตฟอร์มเกมชื่อดังอย่าง Steam, Minecraft และ Epic Games Launcher, ข้อมูลการสนทนาจากแอปพลิเคชันแชทอย่าง WhatsApp และ Telegram ไปจนถึงข้อมูลที่อันตรายที่สุดอย่าง กระเป๋าเงินดิจิทัล (Cryptocurrency Wallets) ทั้งในรูปแบบของโปรแกรมและส่วนขยาย (Extension) ที่ติดตั้งบนบราวเซอร์ ซึ่งอาจนำไปสู่ความเสียหายทางการเงินได้
สิ่งที่น่าจับตามองในแคมเปญนี้คือ อาชญากรไซเบอร์ได้พัฒนาเทคนิคการแพร่กระจายมัลแวร์ให้ทันสมัยอยู่เสมอ โดยในช่วงแรกมีการใช้ฟีเจอร์ใหม่อย่าง Node.js Single Executable Apps (SEA) เพื่อสร้างไฟล์ติดตั้งที่สามารถหลบเลี่ยงการตรวจจับได้ดีขึ้น ก่อนที่จะสลับกลับไปใช้เฟรมเวิร์กแบบเดิมแต่เพิ่มการเข้ารหัสไฟล์เข้ามาแทน นอกจากนี้ ยังพบว่ากลุ่มผู้พัฒนามัลแวร์ได้ย้ายเซิร์ฟเวอร์ควบคุม (Command-and-Control) และเปิดเว็บไซต์เพื่อขาย Stealit อย่างโจ่งแจ้งในรูปแบบบริการสมัครสมาชิก โดยโฆษณาว่าเป็น “โซลูชันสกัดข้อมูลระดับมืออาชีพ” ที่มีความสามารถคล้าย RAT (Remote Access Trojan) ซึ่งสามารถสั่งขโมยไฟล์, ควบคุมเว็บแคม, สอดส่องหน้าจอแบบสด ๆ ไปจนถึงสั่งล็อกไฟล์เพื่อเรียกค่าไถ่ (Ransomware) ได้ทั้งบนระบบ Windows และ Android เลยทีเดียว
แหล่งข่าว https://www.infosecurity-magazine.com/news/new-stealit-malware-campaign-vpn/
