199/69 (IT) ประจำวันพฤหัสบดีที่ 9 เมษายน 2569
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Elastic Security Labs ตรวจพบการแพร่ระบาดของมัลแวร์จากกลุ่มแฮกเกอร์ REF1695 ที่ใช้อุบายสุดแนบเนียนมาตั้งแต่ปลายปี 2023 โดยแฝงมัลแวร์มากับตัวติดตั้งซอฟต์แวร์ปลอมในรูปแบบไฟล์ ISO จุดเด่นของแผนการนี้คือการใช้วิธี Social Engineering ผ่านไฟล์ ReadMe.txt ที่อ้างว่าตนเองเป็นทีมพัฒนาซอฟต์แวร์อิสระขนาดเล็กที่ไม่แสวงหากำไร และไม่มีงบประมาณเพียงพอในการซื้อใบรับรองดิจิทัล (EV Certificate) จาก Windows เพื่อหลอกล่อให้ผู้ใช้งานกดยกเว้นระบบป้องกัน SmartScreen และยินยอมรันไฟล์อันตรายเข้าสู่เครื่องด้วยตนเองภายใต้ความเข้าใจผิดว่าเป็นซอฟต์แวร์ที่ปลอดภัย
เมื่อเหยื่อหลงเชื่อติดตั้งไฟล์ดังกล่าว มัลแวร์ชุดใหญ่อย่าง CNB Bot, PureRAT และ SilentCryptoMiner จะถูกฝังลงในเครื่องเพื่อเข้าควบคุมระบบจากระยะไกล ความน่ากลัวของมัลแวร์กลุ่มนี้คือความสามารถในการเล่นซ่อนหา เพื่อหลบหลีกการตรวจจับ โดยระบบจะคอยเฝ้าตรวจสอบโปรแกรมวิเคราะห์ระบบกว่า 35 ชนิด เช่น Task Manager หรือ Wireshark หากผู้ใช้เปิดโปรแกรมเหล่านี้ขึ้นมาเพราะสงสัยว่าทำไมเครื่องถึงทำงานช้าลง มัลแวร์จะสั่งหยุดการขุดเหรียญทันทีเพื่อให้การใช้งานเครื่องกลับมาลื่นไหลเป็นปกติและไม่พบความผิดปกติใด ๆ แต่ทันทีที่ผู้ใช้ปิดโปรแกรมตรวจสอบเหล่านั้น มัลแวร์ก็จะกลับมาแอบขุดเหรียญ Monero (XMR) เพื่อสร้างรายได้ให้แฮกเกอร์อย่างต่อเนื่อง
จากการตรวจสอบพบว่าแฮกเกอร์กลุ่มนี้สามารถทำเงินจากการขุดเหรียญไปได้แล้วกว่า 9,400 ดอลลาร์สหรัฐฯ ผ่านการใช้ไดรเวอร์ WinRing0x64.sys เพื่อเข้าถึงพลังประมวลผลในระดับลึก นอกจากนี้ยังมีการหลอกให้เหยื่อทำแบบสอบถามหรือสมัครบริการต่างๆ (CPA Fraud) เพื่อแลกกับรหัสลงทะเบียนซอฟต์แวร์ปลอมเพื่อรับค่าคอมมิชชันเพิ่มเติมอีกด้วย ทั้งนี้ เพื่อความปลอดภัยสูงสุด ผู้ใช้งานควรหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์เถื่อนหรือไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และพึงระวังเป็นพิเศษหากมีการคำแนะนำให้ปิดระบบความปลอดภัยหรือข้ามคำเตือน SmartScreen เพราะนั่นคือสัญญาณอันตรายที่อาจทำให้คอมพิวเตอร์ของคุณกลายเป็นเครื่องมือทำเงินของอาชญากรไซเบอร์ได้
แหล่งข่าว https://hackread.com/hackers-non-profit-developers-monero-mining-malware/