293/68 (IT) ประจำวันศุกร์ที่ 15 สิงหาคม 2568
แคสเปอร์สกี้เตือนถึงการระบาดของมัลแวร์โทรจัน “Efimer” ที่ถูกพบครั้งแรกในเดือนตุลาคม 2567 และยังคงแพร่กระจายต่อเนื่องถึงปี 2568 โดยมีผู้ตกเป็นเหยื่อแล้วกว่า 5,000 รายทั่วโลก มัลแวร์ชนิดนี้มีความสามารถหลากหลาย ทั้งดักเปลี่ยนที่อยู่กระเป๋าเงินคริปโตเพื่อโอนเข้าบัญชีของแฮกเกอร์ เจาะรหัสผ่านเว็บ WordPress ด้วยวิธี brute force รวมถึงแพร่กระจายผ่านเว็บที่ถูกแฮก ไฟล์ทอร์เรนต์ปลอม และอีเมลฟิชชิ่งที่อ้างเป็นหนังสือแจ้งความละเมิดเครื่องหมายการค้าจากทนาย พร้อมแนบไฟล์ซึ่งซ่อนสคริปต์ติดตั้งโทรจันโดยมีการแสดงข้อความ error ปลอมเพื่อหลอกผู้ใช้
เมื่อฝังตัวสำเร็จ Efimer จะทำงานแบบ ClipBanker โดยคอยเฝ้าดูว่าผู้ใช้ได้คัดลอก (Copy) ข้อความที่เป็นหมายเลขบัญชีสำหรับโอนเงินดิจิทัลหรือไม่ ถ้าพบก็จะแอบเปลี่ยนเป็นหมายเลขบัญชีของแฮกเกอร์แทน นอกจากนี้ยังดักเก็บ “รหัสกู้บัญชี” ซึ่งเป็นชุดคำที่ใช้ในการเรียกคืนกระเป๋าเงินดิจิทัล แล้วบันทึกไว้ก่อนส่งออกไปยังเซิร์ฟเวอร์ลับที่ซ่อนอยู่บนเครือข่าย Tor เพื่อปกปิดตัวตน มัลแวร์ยังสามารถหยุดการทำงานอัตโนมัติเมื่อผู้ใช้เปิด Task Manager เพื่อลดโอกาสถูกตรวจจับ พร้อมติดตั้งโปรแกรม Tor จากหลายแหล่งดาวน์โหลดเพื่อให้บล็อกได้ยากยิ่งขึ้น นอกจากนี้ยังมีสคริปต์เสริมสำหรับเดารหัสผ่านเว็บ WordPress จากฐานข้อมูลคำศัพท์บน Wikipedia และเมื่อเจาะระบบได้ จะฝังไฟล์อันตรายหรือเผยแพร่ไฟล์ทอร์เรนต์ปลอมที่ซ่อนมัลแวร์ Efimer เวอร์ชันอื่น
รายงานระบุว่ากลุ่มเป้าหมายหลักอยู่ในบราซิล อินเดีย สเปน รัสเซีย อิตาลี และเยอรมนี แต่ลักษณะการโจมตีสามารถคุกคามได้ทั้งบุคคลทั่วไปและองค์กรธุรกิจ ผู้เชี่ยวชาญแนะนำให้หลีกเลี่ยงการเปิดไฟล์แนบจากอีเมลที่ไม่รู้จัก ไม่ดาวน์โหลดทอร์เรนต์จากแหล่งที่ไม่น่าเชื่อถือ และอัปเดตโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ ส่วนเจ้าของเว็บไซต์ควรใช้รหัสผ่านที่รัดกุม เปิดใช้งานการยืนยันตัวตนสองชั้น และอัปเดตซอฟต์แวร์อยู่เสมอเพื่อลดความเสี่ยงถูกฝังมัลแวร์บนเซิร์ฟเวอร์
แหล่งข่าว https://hackread.com/efimer-trojan-crypto-hacks-wordpress-torrents-phishing/
