เรื่องเล่าจากโลกไซเบอร์: เมื่อเกมม็อดกลายเป็นประตูสู่การโจรกรรมคริปโต
เรื่องเริ่มจากการสืบสวนของ Doctor Web ในรัสเซีย ซึ่งพบว่าแฮกเกอร์ใช้เทคนิค DLL Search Order Hijacking โดยวางไฟล์ DLL ปลอมในโฟลเดอร์ของแอปเป้าหมาย เพื่อให้ระบบโหลดไฟล์ปลอมแทนของจริง ทำให้มัลแวร์สามารถเข้าถึงข้อมูลภายในแอปได้โดยตรง
มัลแวร์ Scavenger ถูกปลอมเป็นไฟล์เกมม็อด เช่น “performance patch” ของเกม Oblivion Remastered หรือไฟล์ .ASI สำหรับ GTA ซึ่งเมื่อผู้ใช้ติดตั้งตามคำแนะนำ มัลแวร์จะเริ่มทำงานเป็นขั้นตอน:
1️⃣ Trojan.Scavenger1: ปลอมเป็นไฟล์ DLL เกม
2️⃣ Trojan.Scavenger2: ดาวน์โหลดโมดูลเพิ่มเติม
3️⃣ Trojan.Scavenger3: แฝงตัวในเบราว์เซอร์ Chromium เช่น Chrome, Edge, Opera
- ปิดระบบ sandbox และการตรวจสอบ extension
- แก้ไข extension ยอดนิยม เช่น MetaMask, Bitwarden, LastPass
- ส่งข้อมูล mnemonic และรหัสผ่านไปยังเซิร์ฟเวอร์ของแฮกเกอร์
4️⃣ Trojan.Scavenger4: เจาะเข้าแอป Exodus เพื่อขโมย private key และ mnemonic
มัลแวร์ยังมีความสามารถหลบเลี่ยงการตรวจจับ:
- ตรวจสอบว่าอยู่ใน VM หรือ debug environment แล้วหยุดทำงาน
- ใช้การ handshake แบบเข้ารหัสก่อนสื่อสารกับเซิร์ฟเวอร์
แม้ Doctor Web จะแจ้งนักพัฒนาแอปให้แก้ไขช่องโหว่ DLL hijacking แต่หลายรายปฏิเสธ ทำให้ผู้ใช้ต้องระวังเอง เช่น หลีกเลี่ยงการใช้เกมเถื่อน, ไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และอัปเดตแอนตี้ไวรัสเสมอ
https://hackread.com/scavenger-trojan-crypto-wallets-game-mods-browser-flaws/
เรื่องเริ่มจากการสืบสวนของ Doctor Web ในรัสเซีย ซึ่งพบว่าแฮกเกอร์ใช้เทคนิค DLL Search Order Hijacking โดยวางไฟล์ DLL ปลอมในโฟลเดอร์ของแอปเป้าหมาย เพื่อให้ระบบโหลดไฟล์ปลอมแทนของจริง ทำให้มัลแวร์สามารถเข้าถึงข้อมูลภายในแอปได้โดยตรง
มัลแวร์ Scavenger ถูกปลอมเป็นไฟล์เกมม็อด เช่น “performance patch” ของเกม Oblivion Remastered หรือไฟล์ .ASI สำหรับ GTA ซึ่งเมื่อผู้ใช้ติดตั้งตามคำแนะนำ มัลแวร์จะเริ่มทำงานเป็นขั้นตอน:
1️⃣ Trojan.Scavenger1: ปลอมเป็นไฟล์ DLL เกม
2️⃣ Trojan.Scavenger2: ดาวน์โหลดโมดูลเพิ่มเติม
3️⃣ Trojan.Scavenger3: แฝงตัวในเบราว์เซอร์ Chromium เช่น Chrome, Edge, Opera
- ปิดระบบ sandbox และการตรวจสอบ extension
- แก้ไข extension ยอดนิยม เช่น MetaMask, Bitwarden, LastPass
- ส่งข้อมูล mnemonic และรหัสผ่านไปยังเซิร์ฟเวอร์ของแฮกเกอร์
4️⃣ Trojan.Scavenger4: เจาะเข้าแอป Exodus เพื่อขโมย private key และ mnemonic
มัลแวร์ยังมีความสามารถหลบเลี่ยงการตรวจจับ:
- ตรวจสอบว่าอยู่ใน VM หรือ debug environment แล้วหยุดทำงาน
- ใช้การ handshake แบบเข้ารหัสก่อนสื่อสารกับเซิร์ฟเวอร์
แม้ Doctor Web จะแจ้งนักพัฒนาแอปให้แก้ไขช่องโหว่ DLL hijacking แต่หลายรายปฏิเสธ ทำให้ผู้ใช้ต้องระวังเอง เช่น หลีกเลี่ยงการใช้เกมเถื่อน, ไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และอัปเดตแอนตี้ไวรัสเสมอ
https://hackread.com/scavenger-trojan-crypto-wallets-game-mods-browser-flaws/
🎙️ เรื่องเล่าจากโลกไซเบอร์: เมื่อเกมม็อดกลายเป็นประตูสู่การโจรกรรมคริปโต
เรื่องเริ่มจากการสืบสวนของ Doctor Web ในรัสเซีย ซึ่งพบว่าแฮกเกอร์ใช้เทคนิค DLL Search Order Hijacking โดยวางไฟล์ DLL ปลอมในโฟลเดอร์ของแอปเป้าหมาย เพื่อให้ระบบโหลดไฟล์ปลอมแทนของจริง ทำให้มัลแวร์สามารถเข้าถึงข้อมูลภายในแอปได้โดยตรง
มัลแวร์ Scavenger ถูกปลอมเป็นไฟล์เกมม็อด เช่น “performance patch” ของเกม Oblivion Remastered หรือไฟล์ .ASI สำหรับ GTA ซึ่งเมื่อผู้ใช้ติดตั้งตามคำแนะนำ มัลแวร์จะเริ่มทำงานเป็นขั้นตอน:
1️⃣ Trojan.Scavenger1: ปลอมเป็นไฟล์ DLL เกม
2️⃣ Trojan.Scavenger2: ดาวน์โหลดโมดูลเพิ่มเติม
3️⃣ Trojan.Scavenger3: แฝงตัวในเบราว์เซอร์ Chromium เช่น Chrome, Edge, Opera
- ปิดระบบ sandbox และการตรวจสอบ extension
- แก้ไข extension ยอดนิยม เช่น MetaMask, Bitwarden, LastPass
- ส่งข้อมูล mnemonic และรหัสผ่านไปยังเซิร์ฟเวอร์ของแฮกเกอร์
4️⃣ Trojan.Scavenger4: เจาะเข้าแอป Exodus เพื่อขโมย private key และ mnemonic
มัลแวร์ยังมีความสามารถหลบเลี่ยงการตรวจจับ:
- ตรวจสอบว่าอยู่ใน VM หรือ debug environment แล้วหยุดทำงาน
- ใช้การ handshake แบบเข้ารหัสก่อนสื่อสารกับเซิร์ฟเวอร์
แม้ Doctor Web จะแจ้งนักพัฒนาแอปให้แก้ไขช่องโหว่ DLL hijacking แต่หลายรายปฏิเสธ ทำให้ผู้ใช้ต้องระวังเอง เช่น หลีกเลี่ยงการใช้เกมเถื่อน, ไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และอัปเดตแอนตี้ไวรัสเสมอ
https://hackread.com/scavenger-trojan-crypto-wallets-game-mods-browser-flaws/
0 Comments
0 Shares
87 Views
0 Reviews
Thai