ChaosBot: มัลแวร์สายพันธุ์ใหม่ เขียนด้วย Rust ใช้ Discord สั่งการ!

Published:

 

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ออกมาเปิดเผยรายละเอียดของมัลแวร์ประเภท Backdoor ตัวใหม่ที่เขียนด้วยภาษา Rust ชื่อว่า "ChaosBot" ซึ่งความสามารถหลักของมันคือการเปิดประตูหลังให้แฮกเกอร์เข้ามาสอดแนมและสั่งการอะไรก็ได้บนเครื่องคอมพิวเตอร์ของเหยื่อ

บริษัท eSentire จากแคนาดา รายงานว่าตรวจพบมัลแวร์ตัวนี้ครั้งแรกในช่วงปลายเดือนกันยายน 2025 ที่ผ่านมา ในระบบของลูกค้าที่เป็นสถาบันการเงินแห่งหนึ่ง โดยแฮกเกอร์ได้ใช้ข้อมูลล็อกอินที่ขโมยมา ทั้งของ Cisco VPN และบัญชี Active Directory ที่มีสิทธิ์สูงเกินจำเป็นในการเจาะเข้าระบบ จากนั้นก็ใช้เครื่องมือ WMI (Windows Management Instrumentation) ในการสั่งการระยะไกลเพื่อแพร่กระจายและติดตั้ง ChaosBot ไปทั่วทั้งเครือข่าย

ความน่าสนใจของ ChaosBot คือมันฉลาดพอที่จะ ใช้ Discord เป็นช่องทางสั่งการและควบคุม (Command-and-Control หรือ C2) ครับ! ชื่อของมันก็ได้มาจากโปรไฟล์ Discord ของแฮกเกอร์ที่ใช้ชื่อว่า "chaos_00019" ซึ่งเป็นคนคอยออกคำสั่งไปยังเครื่องที่ติดมัลแวร์ นอกจากนี้ยังมีอีกบัญชีที่เกี่ยวข้องคือ "lovebb0024"

อีกหนึ่งช่องทางการแพร่กระจายที่พบคือการส่งอีเมลฟิชชิ่งที่แนบไฟล์ Shortcut (.LNK) อันตรายมาด้วย หากเหยื่อหลงกลเปิดไฟล์ดังกล่าว สคริปต์ PowerShell ก็จะทำงานเพื่อดาวน์โหลดและติดตั้ง ChaosBot ทันที พร้อมกับเปิดไฟล์ PDF ปลอมที่อ้างว่าเป็นเอกสารจากธนาคารแห่งรัฐเวียดนามขึ้นมาบังหน้าเพื่อเบี่ยงเบนความสนใจ

เมื่อติดตั้งสำเร็จ มันจะทำการสอดแนมข้อมูลระบบและใช้เครื่องมือที่เรียกว่า fast reverse proxy (FRP) เพื่อเจาะช่องทางพิเศษสำหรับเข้าถึงเครือข่ายของเหยื่อได้อย่างถาวร

คำสั่งหลักๆ ที่แฮกเกอร์สามารถสั่งการผ่าน Discord ได้แก่:

  • shell : สั่งรันคำสั่งต่างๆ ผ่าน PowerShell

  • scr : จับภาพหน้าจอ (Screenshot)

  • download : ดาวน์โหลดไฟล์จากแฮกเกอร์มายังเครื่องเหยื่อ

  • upload : อัปโหลดไฟล์จากเครื่องเหยื่อไปยังช่อง Discord

ที่ร้ายกาจไปกว่านั้นคือ ChaosBot เวอร์ชันใหม่ๆ ยังมีเทคนิคหลบเลี่ยงการตรวจจับ เช่น การเข้าไปแก้ไขโค้ดของระบบ Event Tracing for Windows (ETW) และการตรวจสอบ MAC Address ของเครื่องเพื่อดูว่าเป็น Virtual Machine (VM) หรือไม่ ถ้าใช่ มันก็จะปิดตัวเองทันทีเพื่อไม่ให้นักวิจัยวิเคราะห์ได้ง่ายๆ

Chaos Ransomware: อัปเกรดใหม่ โหดกว่าเดิมทั้งลบไฟล์และขโมยคริปโต!

ในขณะเดียวกัน ทาง Fortinet FortiGuard Labs ก็ได้เปิดเผยข้อมูลของ Chaos Ransomware เวอร์ชันใหม่ที่เขียนด้วยภาษา C++ ซึ่งถือเป็นญาติห่างๆ ของ ChaosBot แต่มาในสายเรียกค่าไถ่ที่โหดเหี้ยมกว่าเดิมมาก ด้วยความสามารถใหม่ 2 อย่างคือ:

  1. ทำลายไฟล์ขนาดใหญ่: แทนที่จะเข้ารหัสไฟล์ขนาดใหญ่ (เกิน 1.3 GB) มันเลือกที่จะ "ลบไฟล์นั้นทิ้งอย่างถาวร" ไปเลย เรียกว่าเรียกค่าไถ่ไม่ได้ ก็ทำลายทิ้งซะเลย

  2. ไฮแจ็ก Clipboard: มันจะคอยสอดส่อง Clipboard ของเราอยู่ตลอดเวลา และถ้าเมื่อไหร่ที่เราคัดลอก (Copy) ที่อยู่กระเป๋าเงิน Bitcoin มันจะแอบสลับเป็นที่อยู่กระเป๋าเงินของแฮกเกอร์ทันที! ใครที่โอนคริปโตบ่อยๆ แล้วไม่ตรวจสอบให้ดี มีหวังเงินหายวับไปกับตา

กลยุทธ์สองทางนี้แสดงให้เห็นว่าแฮกเกอร์ต้องการ "กอบโกยผลประโยชน์สูงสุด" ทั้งจากการเรียกค่าไถ่และจากการขโมยเงินโดยตรง

Chaos Ransomware เวอร์ชันนี้มักจะแฝงตัวมาในรูปแบบโปรแกรมยูทิลิตี้ปลอมๆ เช่น "System Optimizer v2.1" เพื่อหลอกให้ผู้ใช้ติดตั้ง (ก่อนหน้านี้เคยแฝงตัวมากับโปรแกรมปลอมอย่าง OpenAI ChatGPT และ InVideo AI)

เมื่อถูกรันขึ้นมา มันจะตรวจสอบก่อนว่าเคยทำงานบนเครื่องนี้แล้วหรือยัง ถ้าเคยแล้ว มันจะเข้าสู่ "โหมดสอดส่อง" เพื่อรอจังหวะขโมยที่อยู่คริปโต แต่ถ้ายังไม่เคย มันจะเริ่มปิดฟังก์ชันกู้คืนระบบต่างๆ ของ Windows แล้วเริ่มกระบวนการเข้ารหัสไฟล์ทันที โดยจะเข้ารหัสไฟล์ที่เล็กกว่า 50 MB และ ลบไฟล์ที่ใหญ่กว่า 1.3 GB ทิ้ง ส่วนไฟล์ที่ขนาดอยู่ระหว่างนั้นจะถูกข้ามไปเพื่อความรวดเร็ว

สรุปง่ายๆ ก็คือ ตระกูลมัลแวร์ Chaos กำลังพัฒนาตัวเองให้ซับซ้อนและอันตรายยิ่งขึ้น ทั้งในแง่ของการควบคุมเครื่องจากระยะไกลและการทำลายข้อมูลเพื่อเรียกค่าไถ่ ดังนั้น การป้องกันตัวเองที่ดีที่สุดคือการระมัดระวังในการเปิดไฟล์แนบหรือลิงก์ที่ไม่น่าไว้ใจ ไม่ติดตั้งโปรแกรมจากแหล่งที่ไม่รู้จัก และตรวจสอบข้อมูลสำคัญอย่างที่อยู่กระเป๋าเงินคริปโตทุกครั้งก่อนทำธุรกรรมนะครับ!

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์