VPN ฟรีที่ไม่ฟรี – มัลแวร์ขโมยข้อมูลแฝงใน GitHub
นักวิจัยจาก Cyfirma พบแคมเปญมัลแวร์ใหม่ที่ใช้ GitHub เป็นช่องทางเผยแพร่ โดยปลอมตัวเป็นเครื่องมือยอดนิยม เช่น “Free VPN for PC” และ “Minecraft Skin Changer” เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำการติดตั้งอย่างละเอียด—ทำให้ดูน่าเชื่อถือ
เมื่อผู้ใช้เปิดไฟล์ Launch.exe ภายใน ZIP:
- มัลแวร์จะถอดรหัสสตริง Base64 ที่ซ่อนด้วยข้อความภาษาฝรั่งเศส
- สร้างไฟล์ DLL ชื่อ msvcp110.dll ในโฟลเดอร์ AppData
- โหลด DLL แบบ dynamic และเรียกฟังก์ชัน GetGameData() เพื่อเริ่ม payload สุดท้าย
มัลแวร์นี้คือ Lumma Stealer ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์, โปรแกรมแชต, และกระเป๋าเงินคริปโต โดยใช้เทคนิคขั้นสูง เช่น:
- memory injection
- DLL side-loading
- sandbox evasion
- process injection ผ่าน MSBuild.exe และ aspnet_regiis.exe
การวิเคราะห์มัลแวร์ทำได้ยาก เพราะมีการใช้ anti-debugging เช่น IsDebuggerPresent() และการบิดเบือนโครงสร้างโค้ด
ข้อมูลจากข่าว
- มัลแวร์ Lumma Stealer ถูกปลอมเป็น VPN ฟรีและ Minecraft mods บน GitHub
- ใช้ไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำการติดตั้งเพื่อหลอกผู้ใช้
- เมื่อเปิดไฟล์ Launch.exe จะถอดรหัส Base64 และสร้าง DLL ใน AppData
- DLL ถูกโหลดแบบ dynamic และเรียกฟังก์ชันเพื่อเริ่ม payload
- ใช้เทคนิคขั้นสูง เช่น memory injection, DLL side-loading, sandbox evasion
- ใช้ process injection ผ่าน MSBuild.exe และ aspnet_regiis.exe
- มัลแวร์สามารถขโมยข้อมูลจากเบราว์เซอร์, โปรแกรมแชต, และ crypto wallets
- GitHub repository ที่ใช้ชื่อ SAMAIOEC เป็นแหล่งเผยแพร่หลัก
คำเตือนและข้อควรระวัง
- ห้ามดาวน์โหลด VPN ฟรีหรือ game mods จากแหล่งที่ไม่เป็นทางการ โดยเฉพาะ GitHub ที่ไม่ผ่านการตรวจสอบ
- ไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำติดตั้งซับซ้อนควรถือว่าเป็นสัญญาณอันตราย
- หลีกเลี่ยงการรันไฟล์ .exe จากแหล่งที่ไม่รู้จัก โดยเฉพาะในโฟลเดอร์ AppData
- ควรใช้แอนติไวรัสที่มีระบบตรวจจับพฤติกรรม ไม่ใช่แค่การสแกนไฟล์
- ตรวจสอบ Task Manager และระบบว่ามี MSBuild.exe หรือ aspnet_regiis.exe ทำงานผิดปกติหรือไม่
- หากพบ DLL ในโฟลเดอร์ Roaming หรือ Temp ควรตรวจสอบทันที
https://www.techradar.com/pro/criminals-are-using-a-dangerous-fake-free-vpn-to-spread-malware-via-github-heres-how-to-stay-safe
นักวิจัยจาก Cyfirma พบแคมเปญมัลแวร์ใหม่ที่ใช้ GitHub เป็นช่องทางเผยแพร่ โดยปลอมตัวเป็นเครื่องมือยอดนิยม เช่น “Free VPN for PC” และ “Minecraft Skin Changer” เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำการติดตั้งอย่างละเอียด—ทำให้ดูน่าเชื่อถือ
เมื่อผู้ใช้เปิดไฟล์ Launch.exe ภายใน ZIP:
- มัลแวร์จะถอดรหัสสตริง Base64 ที่ซ่อนด้วยข้อความภาษาฝรั่งเศส
- สร้างไฟล์ DLL ชื่อ msvcp110.dll ในโฟลเดอร์ AppData
- โหลด DLL แบบ dynamic และเรียกฟังก์ชัน GetGameData() เพื่อเริ่ม payload สุดท้าย
มัลแวร์นี้คือ Lumma Stealer ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์, โปรแกรมแชต, และกระเป๋าเงินคริปโต โดยใช้เทคนิคขั้นสูง เช่น:
- memory injection
- DLL side-loading
- sandbox evasion
- process injection ผ่าน MSBuild.exe และ aspnet_regiis.exe
การวิเคราะห์มัลแวร์ทำได้ยาก เพราะมีการใช้ anti-debugging เช่น IsDebuggerPresent() และการบิดเบือนโครงสร้างโค้ด
ข้อมูลจากข่าว
- มัลแวร์ Lumma Stealer ถูกปลอมเป็น VPN ฟรีและ Minecraft mods บน GitHub
- ใช้ไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำการติดตั้งเพื่อหลอกผู้ใช้
- เมื่อเปิดไฟล์ Launch.exe จะถอดรหัส Base64 และสร้าง DLL ใน AppData
- DLL ถูกโหลดแบบ dynamic และเรียกฟังก์ชันเพื่อเริ่ม payload
- ใช้เทคนิคขั้นสูง เช่น memory injection, DLL side-loading, sandbox evasion
- ใช้ process injection ผ่าน MSBuild.exe และ aspnet_regiis.exe
- มัลแวร์สามารถขโมยข้อมูลจากเบราว์เซอร์, โปรแกรมแชต, และ crypto wallets
- GitHub repository ที่ใช้ชื่อ SAMAIOEC เป็นแหล่งเผยแพร่หลัก
คำเตือนและข้อควรระวัง
- ห้ามดาวน์โหลด VPN ฟรีหรือ game mods จากแหล่งที่ไม่เป็นทางการ โดยเฉพาะ GitHub ที่ไม่ผ่านการตรวจสอบ
- ไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำติดตั้งซับซ้อนควรถือว่าเป็นสัญญาณอันตราย
- หลีกเลี่ยงการรันไฟล์ .exe จากแหล่งที่ไม่รู้จัก โดยเฉพาะในโฟลเดอร์ AppData
- ควรใช้แอนติไวรัสที่มีระบบตรวจจับพฤติกรรม ไม่ใช่แค่การสแกนไฟล์
- ตรวจสอบ Task Manager และระบบว่ามี MSBuild.exe หรือ aspnet_regiis.exe ทำงานผิดปกติหรือไม่
- หากพบ DLL ในโฟลเดอร์ Roaming หรือ Temp ควรตรวจสอบทันที
https://www.techradar.com/pro/criminals-are-using-a-dangerous-fake-free-vpn-to-spread-malware-via-github-heres-how-to-stay-safe
VPN ฟรีที่ไม่ฟรี – มัลแวร์ขโมยข้อมูลแฝงใน GitHub
นักวิจัยจาก Cyfirma พบแคมเปญมัลแวร์ใหม่ที่ใช้ GitHub เป็นช่องทางเผยแพร่ โดยปลอมตัวเป็นเครื่องมือยอดนิยม เช่น “Free VPN for PC” และ “Minecraft Skin Changer” เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำการติดตั้งอย่างละเอียด—ทำให้ดูน่าเชื่อถือ
เมื่อผู้ใช้เปิดไฟล์ Launch.exe ภายใน ZIP:
- มัลแวร์จะถอดรหัสสตริง Base64 ที่ซ่อนด้วยข้อความภาษาฝรั่งเศส
- สร้างไฟล์ DLL ชื่อ msvcp110.dll ในโฟลเดอร์ AppData
- โหลด DLL แบบ dynamic และเรียกฟังก์ชัน GetGameData() เพื่อเริ่ม payload สุดท้าย
มัลแวร์นี้คือ Lumma Stealer ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์, โปรแกรมแชต, และกระเป๋าเงินคริปโต โดยใช้เทคนิคขั้นสูง เช่น:
- memory injection
- DLL side-loading
- sandbox evasion
- process injection ผ่าน MSBuild.exe และ aspnet_regiis.exe
การวิเคราะห์มัลแวร์ทำได้ยาก เพราะมีการใช้ anti-debugging เช่น IsDebuggerPresent() และการบิดเบือนโครงสร้างโค้ด
✅ ข้อมูลจากข่าว
- มัลแวร์ Lumma Stealer ถูกปลอมเป็น VPN ฟรีและ Minecraft mods บน GitHub
- ใช้ไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำการติดตั้งเพื่อหลอกผู้ใช้
- เมื่อเปิดไฟล์ Launch.exe จะถอดรหัส Base64 และสร้าง DLL ใน AppData
- DLL ถูกโหลดแบบ dynamic และเรียกฟังก์ชันเพื่อเริ่ม payload
- ใช้เทคนิคขั้นสูง เช่น memory injection, DLL side-loading, sandbox evasion
- ใช้ process injection ผ่าน MSBuild.exe และ aspnet_regiis.exe
- มัลแวร์สามารถขโมยข้อมูลจากเบราว์เซอร์, โปรแกรมแชต, และ crypto wallets
- GitHub repository ที่ใช้ชื่อ SAMAIOEC เป็นแหล่งเผยแพร่หลัก
‼️ คำเตือนและข้อควรระวัง
- ห้ามดาวน์โหลด VPN ฟรีหรือ game mods จากแหล่งที่ไม่เป็นทางการ โดยเฉพาะ GitHub ที่ไม่ผ่านการตรวจสอบ
- ไฟล์ ZIP ที่มีรหัสผ่านและคำแนะนำติดตั้งซับซ้อนควรถือว่าเป็นสัญญาณอันตราย
- หลีกเลี่ยงการรันไฟล์ .exe จากแหล่งที่ไม่รู้จัก โดยเฉพาะในโฟลเดอร์ AppData
- ควรใช้แอนติไวรัสที่มีระบบตรวจจับพฤติกรรม ไม่ใช่แค่การสแกนไฟล์
- ตรวจสอบ Task Manager และระบบว่ามี MSBuild.exe หรือ aspnet_regiis.exe ทำงานผิดปกติหรือไม่
- หากพบ DLL ในโฟลเดอร์ Roaming หรือ Temp ควรตรวจสอบทันที
https://www.techradar.com/pro/criminals-are-using-a-dangerous-fake-free-vpn-to-spread-malware-via-github-heres-how-to-stay-safe
0 Comments
0 Shares
59 Views
0 Reviews
Thai