“Chaos Ransomware กลับมาในเวอร์ชัน C++ — ลบไฟล์ขนาดใหญ่, ขโมย Bitcoin แบบเงียบ ๆ และทำลายระบบอย่างรุนแรง”
FortiGuard Labs ตรวจพบการพัฒนาใหม่ของมัลแวร์ Chaos Ransomware ซึ่งเปลี่ยนจากภาษา .NET มาเป็น C++ เป็นครั้งแรกในปี 2025 โดยเวอร์ชันใหม่นี้มีชื่อว่า Chaos-C++ และมาพร้อมกับกลยุทธ์ที่รุนแรงและซับซ้อนมากขึ้น ไม่เพียงแค่เข้ารหัสไฟล์เพื่อเรียกค่าไถ่ แต่ยังลบไฟล์ขนาดใหญ่โดยตรง และขโมยข้อมูล Bitcoin จาก clipboard ของผู้ใช้แบบเงียบ ๆ
การโจมตีเริ่มต้นด้วยโปรแกรมปลอมชื่อ “System Optimizer v2.1” ที่แสดงข้อความหลอกว่าเป็นการปรับแต่งระบบ แต่เบื้องหลังกลับติดตั้ง payload ของ Chaos โดยใช้เทคนิคซ่อนหน้าต่างและบันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อหลีกเลี่ยงการตรวจจับ
เมื่อมัลแวร์ตรวจพบสิทธิ์ระดับ admin มันจะรันคำสั่งลบระบบสำรอง เช่น shadow copy, recovery catalog และการตั้งค่าการบูต เพื่อป้องกันไม่ให้เหยื่อกู้คืนข้อมูลได้
Chaos-C++ ใช้กลยุทธ์ 3 ระดับในการจัดการไฟล์:
1️⃣ ไฟล์ ≤ 50MB: เข้ารหัสเต็มรูปแบบ
2️⃣ ไฟล์ 50MB–1.3GB: ข้ามไปเพื่อเพิ่มความเร็ว
3️⃣ ไฟล์ > 1.3GB: ลบเนื้อหาโดยตรงแบบไม่สามารถกู้คืนได้
ในด้านการเข้ารหัส หากระบบมี Windows CryptoAPI จะใช้ AES-256-CFB พร้อมการสร้างคีย์ผ่าน SHA-256 แต่หากไม่มี จะ fallback ไปใช้ XOR ซึ่งอ่อนแอกว่าแต่ยังทำงานได้
ฟีเจอร์ใหม่ที่น่ากลัวคือ clipboard hijacking — Chaos จะตรวจสอบ clipboard หากพบที่อยู่ Bitcoin จะเปลี่ยนเป็น wallet ของผู้โจมตีทันที ทำให้เหยื่อที่พยายามจ่ายค่าไถ่หรือทำธุรกรรมอื่น ๆ อาจส่งเงินไปยังผู้โจมตีโดยไม่รู้ตัว
ข้อมูลสำคัญจากข่าว
Chaos Ransomware เวอร์ชันใหม่เขียนด้วยภาษา C++ เป็นครั้งแรก
ใช้โปรแกรมปลอมชื่อ “System Optimizer v2.1” เพื่อหลอกให้ติดตั้ง
บันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อสร้าง forensic footprint
ตรวจสอบสิทธิ์ admin โดยสร้างไฟล์ทดสอบที่ C:\WINDOWS\test.tmp
รันคำสั่งลบระบบสำรอง เช่น shadow copy และ recovery catalog
กลยุทธ์จัดการไฟล์: เข้ารหัส, ข้าม, และลบเนื้อหาโดยตรง
ใช้ AES-256-CFB หากมี CryptoAPI หรือ fallback เป็น XOR
เปลี่ยนชื่อไฟล์เป็น .chaos หลังเข้ารหัส
Hijack clipboard เพื่อขโมย Bitcoin โดยเปลี่ยนที่อยู่เป็น wallet ของผู้โจมตี
เป้าหมายหลักคือผู้ใช้ Windows ที่มีไฟล์ขนาดใหญ่และใช้ cryptocurrency
ข้อมูลเสริมจากภายนอก
Chaos เวอร์ชันก่อนหน้า เช่น BlackSnake และ Lucky_Gh0$t ใช้ .NET และมีพฤติกรรมคล้ายกัน
Clipboard hijacking เคยพบในมัลแวร์เช่น Agent Tesla และ RedLine Stealer
การลบไฟล์ขนาดใหญ่โดยตรงเป็นกลยุทธ์ที่พบได้น้อยใน ransomware ทั่วไป
การใช้ CreateProcessA() กับ CREATE_NO_WINDOW เป็นเทคนิคหลบการตรวจจับ
การใช้ mutex เพื่อป้องกันการรันหลาย instance เป็นเทคนิคที่พบในมัลแวร์ระดับสูง
คำเตือนและข้อจำกัด
Chaos-C++ สามารถลบไฟล์ขนาดใหญ่โดยไม่สามารถกู้คืนได้
การ hijack clipboard ทำให้ผู้ใช้สูญเสีย Bitcoin โดยไม่รู้ตัว
การ fallback ไปใช้ XOR ทำให้การเข้ารหัสอ่อนแอแต่ยังทำงานได้
การลบระบบสำรองทำให้ไม่สามารถใช้ recovery tools ได้
การปลอมตัวเป็นโปรแกรมปรับแต่งระบบทำให้ผู้ใช้หลงเชื่อได้ง่าย
https://securityonline.info/chaos-ransomware-evolves-to-c-uses-destructive-extortion-to-delete-large-files-and-hijack-bitcoin-clipboard/
FortiGuard Labs ตรวจพบการพัฒนาใหม่ของมัลแวร์ Chaos Ransomware ซึ่งเปลี่ยนจากภาษา .NET มาเป็น C++ เป็นครั้งแรกในปี 2025 โดยเวอร์ชันใหม่นี้มีชื่อว่า Chaos-C++ และมาพร้อมกับกลยุทธ์ที่รุนแรงและซับซ้อนมากขึ้น ไม่เพียงแค่เข้ารหัสไฟล์เพื่อเรียกค่าไถ่ แต่ยังลบไฟล์ขนาดใหญ่โดยตรง และขโมยข้อมูล Bitcoin จาก clipboard ของผู้ใช้แบบเงียบ ๆ
การโจมตีเริ่มต้นด้วยโปรแกรมปลอมชื่อ “System Optimizer v2.1” ที่แสดงข้อความหลอกว่าเป็นการปรับแต่งระบบ แต่เบื้องหลังกลับติดตั้ง payload ของ Chaos โดยใช้เทคนิคซ่อนหน้าต่างและบันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อหลีกเลี่ยงการตรวจจับ
เมื่อมัลแวร์ตรวจพบสิทธิ์ระดับ admin มันจะรันคำสั่งลบระบบสำรอง เช่น shadow copy, recovery catalog และการตั้งค่าการบูต เพื่อป้องกันไม่ให้เหยื่อกู้คืนข้อมูลได้
Chaos-C++ ใช้กลยุทธ์ 3 ระดับในการจัดการไฟล์:
1️⃣ ไฟล์ ≤ 50MB: เข้ารหัสเต็มรูปแบบ
2️⃣ ไฟล์ 50MB–1.3GB: ข้ามไปเพื่อเพิ่มความเร็ว
3️⃣ ไฟล์ > 1.3GB: ลบเนื้อหาโดยตรงแบบไม่สามารถกู้คืนได้
ในด้านการเข้ารหัส หากระบบมี Windows CryptoAPI จะใช้ AES-256-CFB พร้อมการสร้างคีย์ผ่าน SHA-256 แต่หากไม่มี จะ fallback ไปใช้ XOR ซึ่งอ่อนแอกว่าแต่ยังทำงานได้
ฟีเจอร์ใหม่ที่น่ากลัวคือ clipboard hijacking — Chaos จะตรวจสอบ clipboard หากพบที่อยู่ Bitcoin จะเปลี่ยนเป็น wallet ของผู้โจมตีทันที ทำให้เหยื่อที่พยายามจ่ายค่าไถ่หรือทำธุรกรรมอื่น ๆ อาจส่งเงินไปยังผู้โจมตีโดยไม่รู้ตัว
ข้อมูลสำคัญจากข่าว
Chaos Ransomware เวอร์ชันใหม่เขียนด้วยภาษา C++ เป็นครั้งแรก
ใช้โปรแกรมปลอมชื่อ “System Optimizer v2.1” เพื่อหลอกให้ติดตั้ง
บันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อสร้าง forensic footprint
ตรวจสอบสิทธิ์ admin โดยสร้างไฟล์ทดสอบที่ C:\WINDOWS\test.tmp
รันคำสั่งลบระบบสำรอง เช่น shadow copy และ recovery catalog
กลยุทธ์จัดการไฟล์: เข้ารหัส, ข้าม, และลบเนื้อหาโดยตรง
ใช้ AES-256-CFB หากมี CryptoAPI หรือ fallback เป็น XOR
เปลี่ยนชื่อไฟล์เป็น .chaos หลังเข้ารหัส
Hijack clipboard เพื่อขโมย Bitcoin โดยเปลี่ยนที่อยู่เป็น wallet ของผู้โจมตี
เป้าหมายหลักคือผู้ใช้ Windows ที่มีไฟล์ขนาดใหญ่และใช้ cryptocurrency
ข้อมูลเสริมจากภายนอก
Chaos เวอร์ชันก่อนหน้า เช่น BlackSnake และ Lucky_Gh0$t ใช้ .NET และมีพฤติกรรมคล้ายกัน
Clipboard hijacking เคยพบในมัลแวร์เช่น Agent Tesla และ RedLine Stealer
การลบไฟล์ขนาดใหญ่โดยตรงเป็นกลยุทธ์ที่พบได้น้อยใน ransomware ทั่วไป
การใช้ CreateProcessA() กับ CREATE_NO_WINDOW เป็นเทคนิคหลบการตรวจจับ
การใช้ mutex เพื่อป้องกันการรันหลาย instance เป็นเทคนิคที่พบในมัลแวร์ระดับสูง
คำเตือนและข้อจำกัด
Chaos-C++ สามารถลบไฟล์ขนาดใหญ่โดยไม่สามารถกู้คืนได้
การ hijack clipboard ทำให้ผู้ใช้สูญเสีย Bitcoin โดยไม่รู้ตัว
การ fallback ไปใช้ XOR ทำให้การเข้ารหัสอ่อนแอแต่ยังทำงานได้
การลบระบบสำรองทำให้ไม่สามารถใช้ recovery tools ได้
การปลอมตัวเป็นโปรแกรมปรับแต่งระบบทำให้ผู้ใช้หลงเชื่อได้ง่าย
https://securityonline.info/chaos-ransomware-evolves-to-c-uses-destructive-extortion-to-delete-large-files-and-hijack-bitcoin-clipboard/
🧨 “Chaos Ransomware กลับมาในเวอร์ชัน C++ — ลบไฟล์ขนาดใหญ่, ขโมย Bitcoin แบบเงียบ ๆ และทำลายระบบอย่างรุนแรง”
FortiGuard Labs ตรวจพบการพัฒนาใหม่ของมัลแวร์ Chaos Ransomware ซึ่งเปลี่ยนจากภาษา .NET มาเป็น C++ เป็นครั้งแรกในปี 2025 โดยเวอร์ชันใหม่นี้มีชื่อว่า Chaos-C++ และมาพร้อมกับกลยุทธ์ที่รุนแรงและซับซ้อนมากขึ้น ไม่เพียงแค่เข้ารหัสไฟล์เพื่อเรียกค่าไถ่ แต่ยังลบไฟล์ขนาดใหญ่โดยตรง และขโมยข้อมูล Bitcoin จาก clipboard ของผู้ใช้แบบเงียบ ๆ
การโจมตีเริ่มต้นด้วยโปรแกรมปลอมชื่อ “System Optimizer v2.1” ที่แสดงข้อความหลอกว่าเป็นการปรับแต่งระบบ แต่เบื้องหลังกลับติดตั้ง payload ของ Chaos โดยใช้เทคนิคซ่อนหน้าต่างและบันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อหลีกเลี่ยงการตรวจจับ
เมื่อมัลแวร์ตรวจพบสิทธิ์ระดับ admin มันจะรันคำสั่งลบระบบสำรอง เช่น shadow copy, recovery catalog และการตั้งค่าการบูต เพื่อป้องกันไม่ให้เหยื่อกู้คืนข้อมูลได้
Chaos-C++ ใช้กลยุทธ์ 3 ระดับในการจัดการไฟล์:
1️⃣ ไฟล์ ≤ 50MB: เข้ารหัสเต็มรูปแบบ
2️⃣ ไฟล์ 50MB–1.3GB: ข้ามไปเพื่อเพิ่มความเร็ว
3️⃣ ไฟล์ > 1.3GB: ลบเนื้อหาโดยตรงแบบไม่สามารถกู้คืนได้
ในด้านการเข้ารหัส หากระบบมี Windows CryptoAPI จะใช้ AES-256-CFB พร้อมการสร้างคีย์ผ่าน SHA-256 แต่หากไม่มี จะ fallback ไปใช้ XOR ซึ่งอ่อนแอกว่าแต่ยังทำงานได้
ฟีเจอร์ใหม่ที่น่ากลัวคือ clipboard hijacking — Chaos จะตรวจสอบ clipboard หากพบที่อยู่ Bitcoin จะเปลี่ยนเป็น wallet ของผู้โจมตีทันที ทำให้เหยื่อที่พยายามจ่ายค่าไถ่หรือทำธุรกรรมอื่น ๆ อาจส่งเงินไปยังผู้โจมตีโดยไม่รู้ตัว
✅ ข้อมูลสำคัญจากข่าว
➡️ Chaos Ransomware เวอร์ชันใหม่เขียนด้วยภาษา C++ เป็นครั้งแรก
➡️ ใช้โปรแกรมปลอมชื่อ “System Optimizer v2.1” เพื่อหลอกให้ติดตั้ง
➡️ บันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อสร้าง forensic footprint
➡️ ตรวจสอบสิทธิ์ admin โดยสร้างไฟล์ทดสอบที่ C:\WINDOWS\test.tmp
➡️ รันคำสั่งลบระบบสำรอง เช่น shadow copy และ recovery catalog
➡️ กลยุทธ์จัดการไฟล์: เข้ารหัส, ข้าม, และลบเนื้อหาโดยตรง
➡️ ใช้ AES-256-CFB หากมี CryptoAPI หรือ fallback เป็น XOR
➡️ เปลี่ยนชื่อไฟล์เป็น .chaos หลังเข้ารหัส
➡️ Hijack clipboard เพื่อขโมย Bitcoin โดยเปลี่ยนที่อยู่เป็น wallet ของผู้โจมตี
➡️ เป้าหมายหลักคือผู้ใช้ Windows ที่มีไฟล์ขนาดใหญ่และใช้ cryptocurrency
✅ ข้อมูลเสริมจากภายนอก
➡️ Chaos เวอร์ชันก่อนหน้า เช่น BlackSnake และ Lucky_Gh0$t ใช้ .NET และมีพฤติกรรมคล้ายกัน
➡️ Clipboard hijacking เคยพบในมัลแวร์เช่น Agent Tesla และ RedLine Stealer
➡️ การลบไฟล์ขนาดใหญ่โดยตรงเป็นกลยุทธ์ที่พบได้น้อยใน ransomware ทั่วไป
➡️ การใช้ CreateProcessA() กับ CREATE_NO_WINDOW เป็นเทคนิคหลบการตรวจจับ
➡️ การใช้ mutex เพื่อป้องกันการรันหลาย instance เป็นเทคนิคที่พบในมัลแวร์ระดับสูง
‼️ คำเตือนและข้อจำกัด
⛔ Chaos-C++ สามารถลบไฟล์ขนาดใหญ่โดยไม่สามารถกู้คืนได้
⛔ การ hijack clipboard ทำให้ผู้ใช้สูญเสีย Bitcoin โดยไม่รู้ตัว
⛔ การ fallback ไปใช้ XOR ทำให้การเข้ารหัสอ่อนแอแต่ยังทำงานได้
⛔ การลบระบบสำรองทำให้ไม่สามารถใช้ recovery tools ได้
⛔ การปลอมตัวเป็นโปรแกรมปรับแต่งระบบทำให้ผู้ใช้หลงเชื่อได้ง่าย
https://securityonline.info/chaos-ransomware-evolves-to-c-uses-destructive-extortion-to-delete-large-files-and-hijack-bitcoin-clipboard/
0 ความคิดเห็น
0 การแบ่งปัน
17 มุมมอง
0 รีวิว
English