ฝันร้ายคริปโตบน Steam: เปิดโปงมัลแวร์ที่ซ่อนอยู่ในวอลเปเปอร์อนิเมะ

นักวิจัยด้านความปลอดภัยเตือน: Steam Wallpaper Engine ถูกแฮ็กเพื่อแพร่กระจายมัลแวร์ขโมยคริปโต

นักวิจัยด้านความปลอดภัยได้เปิดเผยแคมเปญอาชญากรรมไซเบอร์ที่กำลังขยายตัว โดยมุ่งเป้าไปที่ผู้ใช้งาน Steam Wallpaper Engine ซึ่งเป็นหนึ่งในแอปพลิเคชันวอลล์เปเปอร์แบบสดที่ได้รับความนิยมมากที่สุดบนแพลตฟอร์ม Steam

จากข้อมูลของบริษัทความปลอดภัยไซเบอร์ Kaspersky ผู้โจมตีกำลังใช้ประโยชน์จาก ระบบแจกจ่ายของ Steam Workshop เพื่ออัปโหลดและเผยแพร่วอลล์เปเปอร์แอนิเมชันอันตรายที่ปลอมตัวเป็นเนื้อหาที่ถูกต้องตามกฎหมาย ไฟล์เหล่านี้มักมีการออกแบบที่น่าดึงดูดใจ รวมถึงตัวละครสไตล์อนิเมะ เพื่อดึงดูดการดาวน์โหลดและเพิ่มการมีส่วนร่วม

รายงานระบุว่าวอลล์เปเปอร์ที่ติดมัลแวร์บางส่วนมียอดติดตั้ง ตั้งแต่หลายพันถึงหลายหมื่นครั้ง ซึ่งแสดงให้เห็นว่าแพลตฟอร์มที่น่าเชื่อถือสามารถถูกนำมาใช้เพื่อแจกจ่ายมัลแวร์ในวงกว้างได้อย่างง่ายดายเพียงใด

วิธีการแพร่กระจายมัลแวร์

ห่วงโซ่การโจมตีค่อนข้างเรียบง่ายแต่มีประสิทธิภาพสูง

อาชญากรไซเบอร์อัปโหลดแพ็กวอลล์เปเปอร์ที่ดูเหมือนไม่เป็นอันตรายไปยัง Steam Workshop โดยนำเสนอในรูปแบบต่างๆ เช่น:

• วอลล์เปเปอร์เดสก์ท็อปแบบแอนิเมชัน
• ธีมพื้นหลังแบบสด
• แพ็กภาพสไตล์อนิเมะยอดนิยม
• ผลงานศิลปะที่ออกแบบโดยชุมชน

เมื่อติดตั้งแล้ว แพ็กวอลล์เปเปอร์จะกระตุ้นสคริปต์อันตรายที่ซ่อนอยู่ซึ่งทำงานอยู่เบื้องหลังโดยที่ผู้ใช้ไม่รู้ตัว

เนื่องจากเนื้อหาถูกแจกจ่ายผ่าน ระบบนิเวศอย่างเป็นทางการของ Steam ผู้ใช้จำนวนมากจึงเชื่อว่าปลอดภัยและได้รับการตรวจสอบแล้ว ส่งผลให้ความระแวงสงสัยลดลงและอัตราการติดเชื้อเพิ่มขึ้น

มัลแวร์ทำอะไรได้บ้าง

เมื่อเปิดใช้งานบนระบบของเหยื่อ วอลล์เปเปอร์อันตรายสามารถติดตั้งเพย์โหลดหลายประเภทที่ออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อน

นักวิเคราะห์ด้านความปลอดภัยได้ยืนยันว่าแคมเปญนี้เชื่อมโยงกับตระกูลมัลแวร์ขโมยข้อมูลที่เป็นที่รู้จักกันดี ได้แก่:

• Lumma Stealer
• Vidar Stealer

มัลแวร์ขโมยข้อมูลเหล่านี้สามารถดึงข้อมูลส่วนบุคคลและข้อมูลทางการเงินได้อย่างหลากหลาย

เป้าหมายครอบคลุมกระเป๋าคริปโตและข้อมูลรับรองการเข้าสู่ระบบ

จากผลการวิจัยของ Kaspersky มัลแวร์ถูกออกแบบมาเพื่อดักจับข้อมูลที่ละเอียดอ่อนอย่างยิ่ง ได้แก่:

• ชื่อผู้ใช้และรหัสผ่านบัญชี Steam
• คุกกี้เซสชันการเข้าสู่ระบบที่ใช้งานอยู่
• ข้อมูลรับรองที่บันทึกในเบราว์เซอร์
• ข้อมูลกรอกอัตโนมัติจากเว็บเบราว์เซอร์
• ข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี

การที่มัลแวร์มุ่งเป้าไปที่กระเป๋าคริปโตด้วยนั้นเป็นเรื่องที่น่ากังวลอย่างยิ่งสำหรับผู้ใช้สินทรัพย์ดิจิทัล เนื่องจากข้อมูลรับรองที่ถูกขโมยอาจนำไปสู่การสูญเสียทางการเงินโดยตรง

เมื่อดึงข้อมูลออกไปแล้ว ข้อมูลจะถูกส่งไปยังเซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของผู้โจมตี ซึ่งสามารถนำไปใช้เพื่อยึดบัญชี ขโมยข้อมูลส่วนตัว หรือนำไปขายในตลาดใต้ดิน

เหตุใด Steam Wallpaper Engine จึงถูกโจมตี

Wallpaper Engine ถูกใช้งานอย่างแพร่หลายเนื่องจากฟีเจอร์การปรับแต่งและไลบรารีเนื้อหาขนาดใหญ่ที่ขับเคลื่อนโดยชุมชนบน Steam Workshop

Source: Wu Blockchain

ความนิยมนี้สร้างสภาพแวดล้อมที่เหมาะสมสำหรับผู้โจมตี เนื่องจาก:

• ผู้ใช้เชื่อถือเนื้อหาจาก Steam Workshop
• การดาวน์โหลดมักเป็นแบบอัตโนมัติหรือถูกมองว่ามีความเสี่ยงต่ำ
• เนื้อหาภาพ (เช่น วอลล์เปเปอร์) แทบไม่ถูกมองว่าเป็นอันตราย
• ฐานผู้ใช้ขนาดใหญ่เพิ่มโอกาสในการเผยแพร่

ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ระบุว่า ผู้โจมตีกำลังเปลี่ยนกลยุทธ์มาใช้ประโยชน์จาก แพลตฟอร์มที่น่าเชื่อถือแทนเว็บไซต์ต้องสงสัย มากขึ้น ทำให้การตรวจจับยากยิ่งขึ้น

ความเสี่ยงด้านความปลอดภัยสำหรับผู้ใช้ Steam และผู้ถือครองคริปโต

แคมเปญนี้เน้นให้เห็นถึงข้อกังวลด้านความปลอดภัยไซเบอร์ที่กว้างขึ้น นั่นคือการบรรจบกันของแพลตฟอร์มเกมและการมุ่งเป้าทางการเงิน

บัญชี Steam มักมีสินทรัพย์ดิจิทัลที่มีคุณค่า เช่น:

• เกมที่ซื้อแล้ว
• คลังไอเทมสำหรับการเทรด (ในบางกรณีมีมูลค่าสูง)
• วิธีการชำระเงินที่บันทึกไว้
• บัญชีอีเมลที่เชื่อมต่อ

เมื่อรวมกับการมุ่งเป้าที่กระเป๋าคริปโต ผลกระทบที่อาจเกิดขึ้นจึงรุนแรงขึ้นอย่างมาก

ผู้เชี่ยวชาญเตือนว่าเมื่อผู้โจมตีเข้าถึงคุกกี้เซสชันหรือข้อมูลรับรองที่บันทึกไว้ของผู้ใช้ได้แล้ว พวกเขาอาจสามารถเลี่ยงผ่านการป้องกันการเข้าสู่ระบบแบบดั้งเดิม เช่น รหัสผ่าน หรือแม้แต่วิธีการยืนยันตัวตนสองชั้นบางรูปแบบ

คำเตือนและรายละเอียดการตรวจจับของ Kaspersky

Kaspersky ได้แจ้งเตือนกิจกรรมอันตรายดังกล่าวและกำลังติดตามรูปแบบต่างๆ ของแคมเปญนี้อย่างต่อเนื่อง

ตระกูลมัลแวร์ที่ตรวจพบ โดยเฉพาะ Lumma และ Vidar เป็นที่รู้จักในด้าน:

• การดึงข้อมูลออกอย่างรวดเร็ว
• ความสามารถในการขโมยข้อมูลแบบโมดูลาร์
• ความสามารถในการเลี่ยงผ่านการป้องกันแอนตีไวรัสขั้นพื้นฐาน
• การอัปเดตบ่อยครั้งเพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยด้านความปลอดภัยเน้นย้ำว่าเครื่องมือเหล่านี้มักถูกจำหน่ายในรูปแบบ "malware-as-a-service" ซึ่งช่วยให้ผู้โจมตีที่มีทักษะน้อยสามารถดำเนินแคมเปญที่ซับซ้อนได้

วิธีป้องกันตนเองสำหรับผู้ใช้

ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์แนะนำมาตรการป้องกันหลายประการสำหรับผู้ใช้ Steam และผู้ถือครองคริปโต:

• ดาวน์โหลดวอลล์เปเปอร์จากผู้สร้างที่ได้รับการยืนยันหรือน่าเชื่อถือเท่านั้น
• หลีกเลี่ยงไอเทม Workshop ที่อัปโหลดใหม่และมีประวัติชื่อเสียงต่ำ
• ตรวจสอบการสมัครสมาชิก Steam Workshop ที่ติดตั้งไว้เป็นประจำ
• ใช้เครื่องมือแอนตีไวรัสและแอนตีมัลแวร์โดยเฉพาะ
• เก็บสินทรัพย์คริปโตในฮาร์ดแวร์วอลเล็ตแทนส่วนขยายเบราว์เซอร์เมื่อเป็นไปได้
• ติดตามกิจกรรมบัญชี Steam เพื่อตรวจหาการเข้าสู่ระบบที่ผิดปกติ

ผู้ใช้ยังได้รับคำแนะนำให้ระมัดระวังแม้แต่ภายในแพลตฟอร์มที่น่าเชื่อถือ เนื่องจากระบบการตรวจสอบอาจถูกผู้โจมตีโจมตีหรือเลี่ยงผ่านได้

แนวโน้มที่เพิ่มขึ้นของการโจมตีแพลตฟอร์มเกม

เหตุการณ์นี้เป็นส่วนหนึ่งของแนวโน้มที่กว้างขึ้น ซึ่งอาชญากรไซเบอร์มุ่งเป้าไปที่ระบบนิเวศเกมมากขึ้นเรื่อยๆ

ในช่วงไม่กี่ปีที่ผ่านมา ผู้โจมตีได้ใช้:

• ม็อดปลอมสำหรับเกมยอดนิยม
• โปรแกรมโกงเกมอันตราย
• ลิงก์แจกจ่ายผ่าน Discord ที่ถูกบุกรุก
• การอัปโหลดผ่าน Steam Workshop

เป้าหมายไม่เปลี่ยนแปลง: ใช้ประโยชน์จากความไว้วางใจของผู้ใช้และสภาพแวดล้อมที่มีการมีส่วนร่วมสูงเพื่อแพร่กระจายมัลแวร์ในวงกว้าง

นักวิเคราะห์ด้านความปลอดภัยเตือนว่าเมื่อแพลตฟอร์มเกมยังคงเติบโตต่อไป แพลตฟอร์มเหล่านี้ก็มีแนวโน้มที่จะยังคงเป็นเป้าหมายหลักสำหรับการโจมตีในลักษณะเดียวกัน

บทสรุป

การค้นพบมัลแวร์ที่แจกจ่ายผ่าน Steam Wallpaper Engine ทาง Steam Workshop เน้นให้เห็นถึงภัยคุกคามด้านความปลอดภัยไซเบอร์ที่กำลังเพิ่มขึ้น ซึ่งระบบนิเวศดิจิทัลที่น่าเชื่อถือกำลังถูกนำมาใช้เป็นอาวุธ

ด้วยตระกูลมัลแวร์อย่าง Lumma และ Vidar ที่สามารถขโมยข้อมูลรับรอง Steam ข้อมูลเบราว์เซอร์ และข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี ความเสี่ยงจึงขยายไปไกลเกินกว่าการโจมตีบัญชีธรรมดา

เมื่อผู้โจมตียังคงพัฒนาวิธีการของตนต่อไป ผู้เชี่ยวชาญเน้นย้ำว่าผู้ใช้ต้องระมัดระวังแม้เมื่อโต้ตอบกับเนื้อหาที่ดูเหมือนไม่เป็นอันตราย เช่น วอลล์เปเปอร์

ในภูมิทัศน์ภัยคุกคามปัจจุบัน แม้แต่พื้นหลังเดสก์ท็อปธรรมดาก็อาจกลายเป็นช่องทางสู่การโจรกรรมทางการเงินและข้อมูลส่วนตัวได้