Stealka Stealer: ม็อดและชีท Roblox ปลอมที่ปล้นกระเป๋าเงินคริปโต

Thai
1

Stealka Stealer: โมดและชีทปลอมสำหรับ Roblox กำลังปล้นกระเป๋าเงินคริปโต

ในยุคที่เกมออนไลน์ยอดนิยมอย่าง Roblox มีผู้เล่นนับล้านคนทั่วโลก ผู้โจมตีทางไซเบอร์ได้เล็งเป้าไปที่ชุมชนนี้เพื่อแพร่กระจายมัลแวร์ Stealka Stealer ซึ่งเป็นโปรแกรมขโมยข้อมูลรุ่นใหม่ที่ถูกออกแบบมาเพื่อหลอกล่อผู้เล่นด้วยโมดและชีทปลอม โปรแกรมอันตรายนี้ไม่เพียงแต่ขโมยข้อมูลส่วนบุคคลเท่านั้น แต่ยังมุ่งเป้าไปที่กระเป๋าเงินคริปโต โดยเฉพาะส่วนขยายเบราว์เซอร์ที่ใช้เก็บสินทรัพย์ดิจิทัล นักวิจัยด้านความมั่นคงปลอดภัยข้อมูลจากบริษัทเช่น Gridinsoft ได้ตรวจพบและวิเคราะห์มัลแวร์นี้ ซึ่งถูกโฆษณาขายในฟอรัมมืดราคาเริ่มต้นเพียง 50 ดอลลาร์สหรัฐ

วิธีการแพร่กระจายของ Stealka Stealer

Stealka Stealer ถูกแจกจ่ายหลักผ่านเว็บไซต์และฟอรัมที่เสนอโมด ชีท และเอ็กซ์พลอยต์ปลอมสำหรับ Roblox ผู้เล่นที่กำลังมองหาความได้เปรียบในเกม เช่น สกินพิเศษ ไอเท็มไม่จำกัด หรือฟีเจอร์โกง มักตกเป็นเหยื่อโดยดาวน์โหลดไฟล์ที่ดูน่าเชื่อถือเหล่านี้ ไฟล์มักมาในรูปแบบ .exe หรือ .zip ที่ถูกปกปิดด้วยชื่อเช่น “Roblox-Exploit.exe” หรือ “Free-Roblox-Mod.zip” เมื่อผู้ใช้รันไฟล์ มัลแวร์จะถูกติดตั้งอย่างเงียบเชียบ โดยใช้เทคนิคหลบเลี่ยงการตรวจจับ เช่น การเข้ารหัสเพย์โหลดและการใช้ DLL side-loading

นอกจาก Roblox แล้ว Stealka ยังถูกพบในเว็บไซต์ที่เกี่ยวข้องกับเกมอื่นๆ เช่น Minecraft หรือ Fortnite แต่ Roblox เป็นเป้าหมายหลักเนื่องจากฐานผู้เล่นวัยรุ่นจำนวนมากที่อาจขาดความระมัดระวังด้านความมั่นคงปลอดภัย ผู้โจมตีใช้โซเชียลมีเดียอย่าง Discord และ Telegram เพื่อโปรโมทลิงก์เหล่านี้ โดยอ้างว่าเป็นเครื่องมือฟรีที่ใช้งานได้จริง

ความสามารถในการขโมยข้อมูลที่ครอบคลุม

Stealka Stealer เป็นมัลแวร์ประเภท infostealer ที่เขียนด้วยภาษา Rust ทำให้มีประสิทธิภาพสูง รันได้รวดเร็ว และตรวจจับยาก โมดูลหลักประกอบด้วยการขโมยข้อมูลหลากหลายประเภท โดยมุ่งเน้นที่สินทรัพย์ทางการเงิน ดังนี้:

  • กระเป๋าเงินคริปโต: ขโมยส่วนขยายเบราウ์เซอร์ยอดนิยม เช่น Ronin Wallet, Phantom, Exodus, MetaMask, Trust Wallet, Coin98, Atomic, Binance Chain, OKX, Bitget, Rabby, OneKey และ Tonkeeper มัลแวร์จะดึง private key, seed phrase และ session data เพื่อเข้าถึงบัญชีผู้ใช้โดยตรง
  • ข้อมูลเบราว์เซอร์: ขโมยคุกกี้ รหัสผ่านและข้อมูลฟอร์มจาก Chrome, Firefox, Edge, Opera, Brave และเบราว์เซอร์อื่นๆ ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีธนาคาร โซเชียลมีเดีย และอีเมลได้
  • แอปพลิเคชันเดสก์ท็อป: ขโมยข้อมูลจาก Telegram Desktop, Discord (รวมถึง tokens สำหรับเข้าถึงเซิร์ฟเวอร์), Steam และแอปเกมอื่นๆ
  • ไฟล์ระบบ: สแกนและขโมยไฟล์ .txt, .doc, .pdf, .png, .jpg ในโฟลเดอร์ Desktop, Documents และ Downloads เพื่อหาข้อมูลสำคัญเพิ่มเติม

หลังจากขโมยข้อมูลเสร็จ มัลแวร์จะบีบอัดเป็นไฟล์ ZIP และส่งไปยังเซิร์ฟเวอร์ควบคุม (C2) ผ่านโปรโตคอล HTTP/HTTPS โดยใช้ Telegram Bot เป็นช่องทางหลักในการรับคำสั่งและส่งข้อมูล ทำให้การตรวจจับจากระบบป้องกันแบบดั้งเดิมทำได้ยาก

การวิเคราะห์ทางเทคนิค

จากรายงานของ Gridinsoft Stealka มีโครงสร้างแบบโมดูลาร์ สามารถอัปเดตได้ง่ายผ่าน C2 ผู้พัฒนาใช้ Rust เพื่อหลีกเลี่ยงการตรวจจับ heuristic ของแอนตี้ไวรัส โดยเพย์โหลดหลักถูก obfuscate ด้วยการเข้ารหัส XOR และการใช้ API ของ Windows แบบ native มัลแวร์ตรวจสอบระบบเป้าหมายก่อนติดตั้ง เช่น สถานะ VM, Sandbox หรือ Debugger เพื่อหลีกเลี่ยงการวิเคราะห์

ในเชิงการตรวจจับ VirusTotal แสดงคะแนน detection ต่ำ โดยบางตัวอย่างถูกตรวจพบเพียง 5-10 จาก 70 เครื่องสแกน ชื่อ threat เช่น Trojan:Win32/Stealka.MSIL หรือ Gen:Heur.MSIL.Krypt.1 อย่างไรก็ตาม แอนตี้ไวรัสชั้นนำอย่าง Gridinsoft Anti-Malware สามารถตรวจจับและลบได้อย่างมีประสิทธิภาพ

ผลกระทบและกรณีจริง

ผู้ติดเชื้อส่วนใหญ่เป็นผู้เล่น Roblox วัยรุ่นที่สูญเสียคริปโตมูลค่าหลายพันดอลลาร์ ตัวอย่างเช่น บัญชี MetaMask ที่เชื่อมโยงกับ NFT ใน Roblox สามารถถูกถ่ายโอนสินทรัพย์ได้ทันที นอกจากนี้ Discord tokens ที่ถูกขโมยนำไปสู่การโจมตีเซิร์ฟเวอร์เกมและชุมชน ผู้โจมตีขายข้อมูลที่ขโมยได้ในฟอรัมมืด เพิ่มความเสี่ยงให้กับเหยื่อ

คำแนะนำป้องกันสำหรับองค์กรและผู้ใช้

องค์กรด้านเกมและบริษัทคริปโตควรเตือนผู้ใช้เกี่ยวกับความเสี่ยงจากโมดปลอม แนะนำดังนี้:

  • ใช้แอนตี้ไวรัสที่อัปเดต เช่น Gridinsoft และเปิด real-time protection
  • หลีกเลี่ยงดาวน์โหลดจากแหล่งไม่น่าเชื่อถือ ตรวจสอบด้วย VirusTotal ก่อน
  • ใช้ 2FA สำหรับกระเป๋าเงินคริปโตและแยก cold wallet
  • สแกนระบบเป็นประจำและหลีกเลี่ยงการรันไฟล์ .exe จาก Discord/Telegram
  • ผู้ปกครองควรกำกับดูแลการเล่นเกมของเด็ก

Stealka Stealer แสดงให้เห็นถึงวิวัฒนาการของมัลแวร์ที่เล็งเป้าผู้ใช้เกม โดยใช้ประโยชน์จากความไว้วางใจในชุมชน ผู้ดูแลระบบควรติดตาม IOCs เช่น C2 domains: hxxp://t.me/stealka_c2_bot เพื่อป้องกันการโจมตีในอนาคต

(จำนวนคำ: 728)

This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)