ในระยะหลัง ๆ มัลแวร์เริ่มที่จะหันเหจากการขโมยข้อมูลบนเครื่องของเหยื่อเพียงอย่างเดียว มาเจาะในส่วนของเว็บเบราว์เซอร์มากยิ่งขึ้น และมัลแวร์ตัวนี้ก็เป็นอีกตัวที่จะนำพาความเสี่ยงในการใช้งานเว็บเบราว์เซอร์ของผู้อ่านทุกท่าน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบแคมเปญการขโมยข้อมูลสำคัญ โดยเฉพาะรหัสผ่านต่าง ๆ ที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์ครั้งใหม่ ซึ่งการตรวจพบดังกล่าวนั้นเป็นผลงานของทีมวิจัยจาก CyFirma โดยทางทีมวิจัยระบุว่า มัลแวร์ตัวดังกล่าวนั้นมีชื่อว่า Flesh Stealer เป็นมัลแวร์ที่มีฟีเจอร์มากมายทั้งในด้านการขโมยข้อมูลจากเว็บเบราว์เซอร์ รวมไปถึงการหลบเลี่ยงการตรวจจับ และการวิเคราะห์โดยผู้เชี่ยวชาญ ซึ่งมัลแวร์ตัวนี้จากการตรวจสอบแล้ว ตัวมัลแวร์ถูกเขียนขึ้นบนภาษา C# ในรูปแบบของไฟล์ .NET Executable โดยเริ่มมีการตรวจพบครั้งแรกในช่วงเดือนสิงหาคม ค.ศ. 2024 (พ.ศ. 2567) ซึ่งปัจจุบันกำลังระบาดหนักในกลุ่มประเทศอดีตสหภาพโซเวียต ทำให้ทางทีมวิจัยคาดว่า แฮกเกอร์นักพัฒนาที่อยู่เบื้องหลังมัลแวร์ตัวนี้อาจเป็นชาวรัสเซีย หรือผู้ใช้งานภาษารัสเซีย

สำหรับรายละเอียดเชิงศักยภาพในการทำงานของมัลแวร์นั้น ทางทีมวิจัยได้เปิดเผยไว้ดังนี้

ฟีเจอร์ในหาข้อมูลบนเบราว์เซอร์ และแอปพลิเคชันที่มัลแวร์กำหนดไว้

ส่วนตรงนี้นับได้ว่าเป็นฟีเจอร์หลัก ที่ตัวมัลแวร์จะทำการแสกนหาข้อมูลที่อยู่เว็บเบราว์เซอร์ และแอปพลิเคชันต่าง ๆ ไม่ว่าจะเป็น Chrome, Firefox, Brave, และ Edge ที่ร้ายแรงไปกว่านั้นคือ ปัจจุบันฟีเจอร์การค้นหาข้อมูลสำคัญได้ครอบคลุมถึงแอปพลิเคชันแชทอย่าง Telegram เป็นที่เรียบร้อยแล้ว โดยข้อมูลที่ตัวมัลแวร์ค้นหา และทำการขโมยนั้น จะเป็นข้อมูลอ่อนไหวต่าง ๆ เช่น ไฟล์ Cookies, รหัสผ่านที่ถูกบันทึกไว้, ข้อความแชทที่ถูกบันทึกไว้ (Chat Log), และข้อมูลการเข้าเว็บไซต์ต่าง ๆ (Browsing History)

ฟีเจอร์ Anti-Virtual Machine และ Anti-Debugging

เพื่อให้เหล่าผู้เชี่ยวชาญและทีมวิจัยทำการตรวจสอบได้ยากยิ่งขึ้น ตัวมัลแวร์จะทำการสแกนทั้งข้อมูลของระบบแบบพื้นฐานอย่างเช่น รุ่น BIOS, หน่วยความจำ, และ ความเร็วของชิปประมวลผล (Processor) แล้วทำการแสกนหา String ที่เกี่ยวข้องกับการใช้งาน เครื่องจำลอง (Virtual Machine หรือ VM) อย่างเช่น  VMware, VirtualBox, และ Hyper-V โดยจะสั่งตัวมัลแวร์ให้หยุดทำงานทันทีถ้ามีการตรวจพบ

สำหรับในส่วนของการต่อต้านการถูกดีบั๊ก หรือ Anti-Debugging นั้น ตัวมัลแวร์จะใช้การตรวจจับตัว Process ที่เกี่ยวข้องกับการดีบั๊กอย่างเช่น Wireshark และ HttpDebuggerUI เป็นต้น ซึ่งถ้ามัลแวร์ตรวจพบ ก็จะทำการปิดการทำงานของ Process ดังกล่าวในทันที

การใช้ประโยชน์จากช่องโหว่ของ Wi-Fi และ เครื่องมือ PNP

นอกจากนั้นแล้ว ตัวมัลแวร์ยังใช้ประโยชน์จากเครื่องมือจัดการบน Windows อย่าง Windows Management Instrumentation หรือ WMI เพื่อใช้งานการสแกนเครื่องมือที่ใช้งานระบบ Plug and Play (PnP) แล้วทำการเซฟข้อมูลเป็นไฟล์ ชื่อว่า device.txt นอกจากนั้นแล้ว ตัวมัลแวร์นั้นยังมีควาสามารถในการขโมยรหัสผ่าน Wi-Fi และข้อมูลที่เกี่ยวข้องได้อีกด้วย

สำหรับในส่วนของการแพร่กระจายตัวนั้น แหล่งข่าวไม่ได้ระบุไว้ว่าแฮกเกอร์ใช้วิธีใดในการแพร่กรจายมัลแวร์ดังกล่าว แต่ได้มีการระบุว่า มัลแวร์ดังกล่าวนั้นปัจจุบันได้ถูกซื้อขายผ่านทางช่องทางอย่าง Discord และ Telegram รวมไปถึงเว็บบอร์ดใต้ดินยอดนิยมในวงการแฮกเกอร์อย่าง Pyrex Guru  อีกด้วย

ที่มา : cybersecuritynews.com