ผู้เชี่ยวชาญด้าน Threat Intelligence ของ Microsoft และ Microsoft Defender รายงานเมื่อวันที่ 17 มิถุนายนว่า มัลแวร์สายพันธุ์ใหม่กำลังแพร่เชื้อไปยังอุปกรณ์ที่ใช้ Windows นับตั้งแต่เดือนกุมภาพันธ์ 2026 ภัยคุกคามดังกล่าว ซึ่ง Microsoft Defender Antivirus ได้ตั้งค่าสถานะไว้ว่า “Trojan: Win32/CryptoBandits.A” หรือที่เรียกว่า “clipper” ถูกออกแบบมาเพื่อดูดมูลค่าคริปโตจากผู้ใช้โดยการเฝ้าติดตามกิจกรรมบนคลิปบอร์ด มัลแวร์ทำงานโดยการเฝ้าดูคลิปบอร์ดทุกประมาณ 500 มิลลิวินาที และจะสลับที่อยู่กระเป๋าสตางค์คริปโตแบบเงียบ ๆ ไปยังที่อยู่ที่ผู้โจมตีควบคุมอยู่ เมื่อผู้ใช้คัดลอกและวางรายละเอียดธุรกรรม วิธีโจมตีผ่านคลิปบอร์ดนี้ใช้ประโยชน์จากพฤติกรรมทั่วไปในการคัดลอกที่อยู่กระเป๋าสตางค์ระหว่างทำธุรกรรมคริปโต ทำให้ผู้โจมตีสามารถเปลี่ยนทิศทางเงินโดยที่เหยื่อไม่รู้ตัว
Microsoft ระบุวิธีการกระจายมัลแวร์
จากรายงานของ Microsoft แคมเปญเริ่มต้นด้วยไฟล์ทางลัดที่เป็นอันตราย (.lnk) ซึ่งถูกแจกจ่ายบนไดรฟ์เก็บข้อมูลแบบ USB มัลแวร์รวมส่วนประกอบไว้ 2 ส่วน ได้แก่ เวิร์มที่แพร่กระจายตัวเอง และสเตลเลอร์ที่เก็บเกี่ยวข้อมูลกระเป๋าสตางค์ เวิร์มจะซ่อนเอกสารที่ดูเหมือนถูกต้องบนอุปกรณ์ USB และแทนที่ด้วยทางลัดปลอมที่ถูกพราง ทำให้ผู้ใช้ที่เปิดสิ่งที่ดูเหมือนเป็นไฟล์คุ้นเคย แท้จริงแล้วกำลังรันมัลแวร์โดยไม่รู้ตัว
มัลแวร์ยังไล่หา seed phrase และ private keys ซึ่งเป็นข้อมูลรับรองที่ใช้ปลดล็อกกระเป๋าสตางค์คริปโต เพื่อคงการทำงานต่อเนื่อง มันจะรันในหน้าต่างที่ถูกซ่อน ตั้งค่า scheduled tasks และยกเว้นไฟล์ของตัวเองจากการสแกนของ Defender มัลแวร์ตรวจสอบว่าเปิด Task Manager อยู่หรือไม่ และจะปิดตัวเองหากพบเป็นกลยุทธ์ต่อต้านการวิเคราะห์ที่มีเป้าหมายเพื่อหลบเลี่ยงผู้ที่กำลังตรวจสอบอุปกรณ์
CryptoBandits ใช้โครงสร้างพื้นฐานแบบ Tor
Microsoft ระบุว่า CryptoBandits ใช้ไคลเอนต์ Tor แบบพกพา และส่งทราฟฟิกผ่านพร็อกซีภายในเครื่องเพื่อเข้าถึงเซิร์ฟเวอร์คำสั่งและควบคุมที่ถูกซ่อน การออกแบบนี้ทำให้มันผสมผสานการขโมยข้อมูลเข้ากับการรันโค้ดระยะไกล เปลี่ยนจากสเตลเลอร์ที่มุ่งหวังเงินให้กลายเป็นแบ็กดอร์ขนาดเบาที่สามารถสั่งงานคำสั่งเพิ่มเติมจากผู้โจมตีได้ โครงสร้างพื้นฐานที่ใช้ Tor ช่วยให้มัลแวร์รักษาช่องทางการสื่อสารแบบแนบเนียนได้ โดยไม่ต้องพึ่งตัวติดตั้งแบบดั้งเดิมหรือเซิร์ฟเวอร์ที่เปิดเผย
FAQ
มัลแวร์ CryptoBandits ที่ Microsoft ค้นพบคืออะไร?
CryptoBandits ซึ่ง Microsoft Defender Antivirus ระบุไว้ว่า “Trojan: Win32/CryptoBandits.A” คือมัลแวร์สายพันธุ์หนึ่งที่เฝ้าติดตามกิจกรรมบนคลิปบอร์ดทุกประมาณ 500 มิลลิวินาที และสลับที่อยู่กระเป๋าสตางค์คริปโตด้วยที่อยู่ที่ผู้โจมตีควบคุมอยู่ Microsoft Threat Intelligence และ Microsoft Defender Experts รายงานเมื่อวันที่ 17 มิถุนายนว่า มันกำลังติดเชื้อในอุปกรณ์ที่ใช้ Windows ตั้งแต่เดือนกุมภาพันธ์ 2026
มัลแวร์ CryptoBandits แพร่กระจายไปยังอุปกรณ์ได้อย่างไร?
จากรายงานของ Microsoft มัลแวร์แพร่กระจายผ่านไฟล์ทางลัด (.lnk) ที่เป็นอันตราย ซึ่งถูกแจกจ่ายบนไดรฟ์เก็บข้อมูลแบบ USB ส่วนเวิร์มจะซ่อนเอกสารที่ดูถูกต้องบนอุปกรณ์ USB และแทนที่ด้วยทางลัดปลอมที่ทำให้ดูเหมือนของจริง ซึ่งจะรันมัลแวร์เมื่อผู้ใช้เปิดไฟล์ที่ดูเหมือนเป็นไฟล์คุ้นเคย
CryptoBandits ใช้โครงสร้างพื้นฐานใดในการสื่อสาร?
Microsoft ระบุว่า CryptoBandits ใช้ไคลเอนต์ Tor แบบพกพา และส่งทราฟฟิกผ่านพร็อกซีภายในเครื่องเพื่อเข้าถึงเซิร์ฟเวอร์คำสั่งและควบคุมที่ถูกซ่อน โครงสร้างพื้นฐานแบบ Tor นี้ช่วยให้มัลแวร์รักษาช่องทางการสื่อสารที่แนบเนียน และทำการประมวลผลคำสั่งระยะไกลได้
