377/68 (IT) ประจำวันพุธที่ 1 ตุลาคม 2568
นักวิจัยจาก eSentire Threat Response Unit (TRU) เปิดเผยการกลับมาของมัลแวร์ขโมยข้อมูล DarkCloud Infostealer เวอร์ชัน 4.2 ถูกพบในความพยายามโจมตีอุตสาหกรรมการผลิตในเดือนกันยายน 2025 โดย DarkCloud ถูกเขียนใหม่ทั้งหมดด้วยภาษา VB6 หลังเคยถูกขายในฟอรัมอาชญากรรมไซเบอร์ XSS.is ซึ่งถูกปิดในเดือนกรกฎาคม 2025 แต่กลับมาจำหน่ายอีกครั้งผ่านเว็บไซต์ของตนเองและช่องทาง Telegram
การโจมตีเริ่มจากอีเมลฟิชชิงที่มีเนื้อหาเลียนแบบธุรกรรมทางการเงิน พร้อมแนบไฟล์บีบอัด Swift Message MT103 FT2521935SVT.zip เมื่อเหยื่อเปิดไฟล์ มัลแวร์ DarkCloud จะถูกติดตั้งลงเครื่องเพื่อขโมยข้อมูล อย่างไรก็ตาม TRU สามารถตรวจจับและหยุดการแพร่กระจายก่อนเข้าถึงข้อมูลลูกค้าได้สำเร็จ เหตุการณ์นี้ตอกย้ำว่า อีเมลฟิชชิงยังคงเป็นช่องทางหลักของการกระจายมัลแวร์
DarkCloud Infostealer ถูกออกแบบมาเพื่อขโมยข้อมูลหลากหลายประเภท เช่น รหัสผ่านเบราว์เซอร์ หมายเลขบัตรเครดิต คุกกี้เว็บไซต์ ข้อมูล FTP keystroke เนื้อหาคลิปบอร์ด ไฟล์เอกสาร (.txt, .pdf, .doc, .xls) กระเป๋าคริปโต รวมถึงรายชื่อผู้ติดต่อจากโปรแกรมอีเมล Thunderbird, MailMaster และ eM Client โดยข้อมูลทั้งหมดจะถูกส่งกลับไปยังผู้โจมตีผ่าน Telegram, FTP, อีเมล หรือ Web Panel นักวิจัยจาก TRU ได้เผยแพร่เครื่องมือสำหรับนักวิจัยด้านความปลอดภัย เพื่อถอดรหัสและวิเคราะห์โค้ดของมัลแวร์ พร้อมแนะนำให้องค์กรใช้ระบบกรองอีเมลที่สามารถบล็อกไฟล์บีบอัดหรือไฟล์แนบต้องสงสัยเพื่อลดความเสี่ยง
แหล่งข่าว https://hackread.com/darkcloud-infostealer-grab-credentials-crypto-contacts/
