ระวัง! "GhostCall" และ "GhostHire" สองมัลแวร์ใหม่จากเกาหลีเหนือ พุ่งเป้าโจมตีผู้ใช้ macOS และวงการ Web3
นักวิจัยจากค่ายดังอย่าง Kaspersky ได้ออกมาเปิดโปงสองแคมเปญมัลแวร์ใหม่แกะกล่องในชื่อ "GhostCall" และ "GhostHire" ซึ่งเป็นฝีมือของกลุ่มแฮกเกอร์ BlueNoroff ที่เชื่อมโยงกับเกาหลีเหนือ กลุ่มนี้ก็คือกลุ่มย่อยของมหาโจรไซเบอร์ระดับโลกอย่าง Lazarus Group นั่นเองครับ
ปฏิบัติการนี้เป็นส่วนหนึ่งของภารกิจใหญ่ชื่อ "SnatchCrypto" ที่จ้องจะขโมยสินทรัพย์ดิจิทัลมาตั้งแต่ปี 2017 แล้ว แต่คราวนี้พวกมันอัปเกรดวิธีมาเนียนและโหดกว่าเดิมครับ
GhostCall: หลอกผู้บริหารประชุม Zoom (ปลอม)
แคมเปญแรก GhostCall จะพุ่งเป้าไปที่ ผู้บริหารระดับสูง ในบริษัทเทคโนโลยีและบริษัทร่วมทุน (Venture Capital) ที่ใช้เครื่อง macOS
วิธีหลอกลวง:
- ทักส่วนตัว: แฮกเกอร์จะทักเหยื่อไปตรงๆ ผ่าน Telegram ชวนให้เข้าร่วมประชุมออนไลน์เรื่องการลงทุน
- เว็บประชุมปลอม: ลิงก์ที่ส่งมาจะเป็นหน้าเว็บฟิชชิ่งที่ทำเลียนแบบ Zoom (หรือล่าสุดเปลี่ยนเป็น Microsoft Teams) ได้อย่างแนบเนียน
- ใช้ AI ช่วย: เพื่อให้สมจริง แฮกเกอร์จะใช้รูปโปรไฟล์ของผู้เข้าร่วมประชุมคนอื่นๆ ที่ไปดูดมาจาก LinkedIn หรือ X (Twitter) และที่น่าสนใจคือ มีการ ใช้ [OpenAI] GPT-4o ช่วยปรับปรุงรูปภาพ ให้ดูดีขึ้นด้วย
- ใช้เหยื่อจริง (ที่ไม่ใช่ Deepfake): เมื่อเหยื่อกดเข้าห้องประชุม จะมีการเล่นวิดีโอและเสียงที่ บันทึกมาจากเหยื่อคนอื่นๆ ที่เคยโดนหลอกจริงๆ ทำให้การประชุมดูเหมือนจริงมาก
- หลอกให้อัปเดต: สักพัก ระบบจะเด้ง Error ปลอม อ้างว่ามีปัญหา และบีบให้เหยื่อกด "Update Now" เพื่อดาวน์โหลด "Zoom SDK" หรือ "TeamsFx SDK" (ซึ่งก็คือมัลแวร์)
🧑💻 GhostHire: หลอกนักพัฒนาทำแบบทดสอบ (ด่วน)
แคมเปญที่สอง GhostHire จะเปลี่ยนเป้าหมายไปที่ นักพัฒนา Web3
วิธีหลอกลวง:
- ปลอมเป็น HR: แฮกเกอร์จะทัก Telegram ไปหานักพัฒนา โดยปลอมโปรไฟล์ LinkedIn อ้างว่าเป็นฝ่ายบุคคล (HR) จากบริษัทการเงินในสหรัฐฯ
- ส่งแบบทดสอบ: จากนั้นจะดึงเหยื่อเข้า Telegram bot ของบริษัทปลอม และส่งไฟล์ ZIP ที่อ้างว่าเป็นแบบทดสอบทักษะการเขียนโค้ด (Skill Assessment)
- บีบด้วยเวลา: จุดตายอยู่ตรงนี้ แฮกเกอร์จะ บีบให้เหยื่อทำให้เสร็จภายใน 30 นาที เพื่อสร้างแรงกดดัน ให้เหยื่อรีบเปิดไฟล์โดยไม่ทันระวัง
- ฝังมัลแวร์ใน GitHub: ตัวโปรเจกต์ที่ส่งมาดูเผินๆ ก็ปกติ แต่แฮกเกอร์แอบฝัง Dependency (ไลบรารี) ที่เป็นอันตราย ไว้ในโปรเจกต์ (เช่น Go module ที่ชื่อ uniroute) พอนักพัฒนารันโปรเจกต์เพื่อทดสอบ มัลแวร์ก็จะเริ่มทำงานทันที
โหดจัด! ตัวดูดข้อมูล "SilentSiphon" กวาดเรียบทุกคีย์ลับ
ไม่ว่าเหยื่อจะโดนหลอกจากวิธีไหน ปลายทางคือการติดตั้งมัลแวร์หลายสายพันธุ์ (เช่น DownTroy, CosmicDoor, RooTroy) ลงในเครื่อง ซึ่งมีเป้าหมายคือการฝัง Backdoor เพื่อควบคุมเครื่องจากระยะไกล และหลบเลี่ยงระบบความปลอดภัยของ Apple (TCC)
แต่ที่น่ากลัวที่สุดคือหนึ่งในมัลแวร์ที่ชื่อ SilentSiphon ครับ มันคือ "เครื่องดูดฝุ่นข้อมูล" ชั้นยอด ที่ถูกออกแบบมาเพื่อ กวาดข้อมูลสำคัญทุกอย่าง ในเครื่องเหยื่อ ไม่ว่าจะเป็น:
- ข้อมูลจาก Apple Notes, Telegram
- รหัสผ่านที่บันทึกใน เบราว์เซอร์ และ แอปจัดการรหัสผ่าน
คีย์ลับ (Secrets) ของนักพัฒนา ที่เก็บไว้ในไฟล์ตั้งค่าของบริการสารพัดชนิด เช่น:
DevOps: GitHub, GitLab, Bitbucket, Docker, Kubernetes- Cloud: AWS, Google Cloud, Microsoft Azure, DigitalOcean
- Blockchain: Sui, Solana, NEAR, Aptos, Algorand
- บริการอื่นๆ: OpenAI, Stripe, Firebase, SSH, FTP และอีกเพียบ!
🤖 แฮกเกอร์ใช้ GenAI เร่งพัฒนามัลแวร์
Kaspersky สรุปทิ้งท้ายได้น่าสนใจว่า ปฏิบัติการนี้แสดงให้เห็นว่าแฮกเกอร์พุ่งเป้าโจมตีทั้ง Windows และ macOS อย่างจริงจัง
และที่สำคัญ "การใช้ Generative AI (อย่าง GPT-4o) ได้เร่งกระบวนการนี้อย่างมีนัยสำคัญ" ช่วยให้พวกมันพัฒนามัลแวร์ได้มีประสิทธิภาพมากขึ้นและลดต้นทุน
ตอนนี้เป้าหมายของ BlueNoroff ไม่ใช่แค่การขโมยคริปโตฯ หรือพาสเวิร์ดธรรมดาๆ แล้ว แต่คือการ "กวาดข้อมูลอย่างครอบคลุม" ทั้งระบบงานของบริษัท, เครื่องมือพัฒนา, โค้ด, คลาวด์ และคีย์ลับทั้งหมดที่พวกมันหาได้ครับ
ระมัดระวังกันด้วยนะครับ ใครทักมาแปลกๆ ชวนประชุมด่วน หรือส่งไฟล์ให้ทำแบบทดสอบรีบๆ อย่าเพิ่งกดเด็ดขาดครับ!
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก