528/68 (IT) ประจำวันพุธที่ 17 ธันวาคม 2568
นักวิจัยด้านความปลอดภัยไซเบอร์พบประกาศขายมัลแวร์ขโมยข้อมูลตัวใหม่ในชื่อ “SantaStealer” ผ่านทาง Telegram และฟอรัมแฮกเกอร์ โดยเปิดให้บริการในรูปแบบเช่าใช้ (Malware-as-a-Service) และโฆษณาจุดเด่นเรื่องการทำงานบนหน่วยความจำเพื่อหลบเลี่ยงการตรวจจับ ซึ่งจากการวิเคราะห์เชิงลึกโดยทีมวิจัยของ Rapid7 พบว่ามัลแวร์ดังกล่าวเป็นการรีแบรนด์มาจากโครงการเดิมที่ชื่อ “BluelineStealer” แม้ผู้พัฒนาจะอ้างสรรพคุณเรื่องการหลบซ่อนตัวที่แนบเนียน แต่จากการตรวจสอบตัวอย่างโค้ดที่หลุดออกมาพบว่ายังมีข้อบกพร่องด้านความปลอดภัยในการปฏิบัติงาน (OpSec) ของผู้สร้างเอง ทำให้ผู้เชี่ยวชาญสามารถวิเคราะห์โครงสร้างและตรวจจับได้ง่ายกว่าที่โฆษณาไว้
ในด้านขีดความสามารถทางเทคนิค SantaStealer ถูกออกแบบมาให้ใช้งานง่ายสำหรับแฮกเกอร์ โดยมีราคาค่าสมาชิกเริ่มต้นที่ 175 ดอลลาร์ต่อเดือน มัลแวร์ตัวนี้ทำงานด้วยโมดูลแยกย่อย 14 ส่วน มุ่งเป้าขโมยข้อมูลสำคัญอย่างครอบคลุม ได้แก่ รหัสผ่านและคุกกี้จากเว็บเบราว์เซอร์, ข้อมูลบัตรเครดิต, บัญชี Telegram, Discord, Steam และเป้าหมายหลักคือกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallets) นอกจากนี้ยังมีความสามารถในการเจาะทะลุระบบป้องกัน App-Bound Encryption รุ่นใหม่ของ Google Chrome และสามารถบันทึกภาพหน้าจอของเหยื่อได้ โดยข้อมูลทั้งหมดจะถูกบีบอัดและส่งกลับไปยังเซิร์ฟเวอร์ของผู้โจมตีทันที
แม้ปัจจุบันมัลแวร์ตัวนี้จะยังไม่มีการแพร่ระบาดในวงกว้าง แต่ผู้เชี่ยวชาญคาดการณ์ว่ารูปแบบการโจมตีอาจมาผ่านเทคนิค ClickFix, การแนบมากับซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือแฝงมาในอีเมล Phishing ซึ่งทาง Rapid7 จึงได้แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเป็นพิเศษในการคลิกลิงก์หรือดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จัก รวมไปถึงหลีกเลี่ยงการรันโค้ดส่วนขยาย (Extensions) ที่ไม่ได้รับการตรวจสอบ เพื่อป้องกันความเสี่ยงจากการถูกโจรกรรมข้อมูลสำคัญ
