แคมเปญ Silent Swap ปลอมแปลงส่วนขยาย Google Notes ขโมยคริปโตจากกระเป๋าเหรียญ
McAfee Labs เปิดเผยแคมเปญ Silent Swap ที่ใช้ส่วนขยาย Google Notes ปลอมเพื่อขโมยคริปโตจากผู้ใช้ รู้จักกลไกและวิธีป้องกัน
นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก McAfee Labs ได้ตรวจพบแคมเปญที่เป็นอันตรายซึ่งใช้ส่วนขยายเบราว์เซอร์ปลอมเพื่อขโมยสกุลเงินดิจิทัล โดยแคมเปญนี้ถูกตั้งชื่อรหัสว่า Silent Swap ซึ่งมีการทำงานในรูปแบบ Clipper ที่สามารถเปลี่ยนที่อยู่กระเป๋าเหรียญของผู้ใช้ในระหว่างการทำธุรกรรม
แคมเปญนี้ถูกเผยแพร่ผ่านตัวติดตั้งที่ไม่ได้ลงนาม ซึ่งพบทั้งในรูปแบบ .NET และ Golang โดยมีการแอบอ้างเป็นส่วนขยาย Google Notes ที่ดูเหมือนไม่มีพิษภัย แต่เมื่อผู้ใช้ติดตั้งเข้าไป มันจะทำการตรวจสอบคลิปบอร์ดเพื่อหาโครงสร้างของที่อยู่กระเป๋าเหรียญคริปโต และแทนที่ด้วยที่อยู่ของคนร้ายทันทีเมื่อเริ่มต้นการทำธุรกรรม
กลไกการโจมตีและการกระจายตัว
การโจมตีของ Silent Swap เริ่มต้นจากการที่ผู้ใช้ดาวน์โหลดตัวติดตั้งปลอมจากแหล่งที่ไม่น่าเชื่อถือ ซึ่งมักถูกแจกจ่ายผ่านเว็บไซต์หลอกลวงหรือลิงก์ในอีเมลขยะ เมื่อติดตั้งแล้ว ส่วนขยายจะทำหน้าที่เหมือนกับ Clipper ที่ซุ่มซ่อนอยู่ในเบราว์เซอร์ โดยจะรอคอยให้ผู้ใช้คัดลอกที่อยู่กระเป๋าเหรียญเพื่อทำธุรกรรม เมื่อตรวจพบรูปแบบที่ตรงตามเงื่อนไข ส่วนขยายจะเปลี่ยนที่อยู่นั้นเป็นที่อยู่ของแฮ็กเกอร์ทันทีโดยที่ผู้ใช้ไม่รู้ตัว
ความเสี่ยงที่ผู้ใช้คริปโตต้องระวัง
ผู้ใช้คริปโตเคอเรนซีทุกคนควรตระหนักถึงความเสี่ยงจาก Clipper ชนิดนี้ เพราะการตรวจสอบที่อยู่กระเป๋าเหรียญเพียงครั้งเดียวอาจไม่เพียงพอ การติดตั้งส่วนขยายเบราว์เซอร์จากแหล่งที่ไม่น่าเชื่อถือ หรือแม้แต่ส่วนขยายที่ดูเหมือนน่าเชื่อถือแต่ยังไม่ถูกตรวจสอบความปลอดภัย ก็สามารถนำไปสู่การสูญเสียเงินดิจิทัลได้อย่างถาวร
ประเภทของตัวติดตั้งและวิธีสังเกต
McAfee Labs รายงานว่า Silent Swap มีตัวติดตั้งสองรูปแบบหลักคือ .NET และ Golang ซึ่งทั้งสองชนิดต่างก็ไม่มีการลงนามรับรองความปลอดภัยจากผู้พัฒนา ทำให้เป็นสัญญาณเตือนที่ชัดเจนถึงความไม่น่าเชื่อถือ ผู้ใช้งานควรหลีกเลี่ยงการดาวน์โหลดโปรแกรมหรือส่วนขยายที่ไม่ได้ลงนามจากผู้พัฒนาโดยตรง โดยเฉพาะอย่างยิ่งหากเกี่ยวข้องกับการจัดการสินทรัพย์ดิจิทัล
แนวทางการป้องกันและข้อแนะนำ
เพื่อป้องกันการตกเป็นเหยื่อของ Silent Swap และแคมเปญ Clipper อื่นๆ ผู้ใช้ควรตรวจสอบที่อยู่กระเป๋าเหรียญทุกครั้งก่อนยืนยันการทำธุรกรรม โดยเปรียบเทียบกับที่อยู่ที่ถูกต้องจากแหล่งที่เชื่อถือได้ รวมถึงติดตั้งซอฟต์แวร์ความปลอดภัยที่สามารถตรวจจับมัลแวร์ชนิดนี้ได้ นอกจากนี้ ควรอัปเดตเบราว์เซอร์และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดเสมอ
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด