Google Threat Intel ชี้ว่า Ghostblade เป็นมัลแวร์ขโมยคริปโต

Google Threat Intelligence ได้ทำการระบุมัลแวร์ขโมยคริปโตชนิดใหม่ชื่อ "Ghostblade" ที่กำหนดเป้าหมายไปยังอุปกรณ์ Apple iOS โดยถูกอธิบายว่าเป็นส่วนหนึ่งของกลุ่ม DarkSword ที่เป็นเครื่องมือบนเบราว์เซอร์ Ghostblade ถูกออกแบบมาเพื่อขโมยคีย์ส่วนตัวและข้อมูลที่ละเอียดอ่อนอื่นๆ อย่างรวดเร็วและแอบแฝง แทนที่จะติดตั้งอยู่บนอุปกรณ์อย่างต่อเนื่อง

เขียนด้วย JavaScript, Ghostblade จะเปิดใช้งาน เก็บเกี่ยวข้อมูลจากอุปกรณ์ที่ถูกบุกรุก และส่งต่อไปยังเซิร์ฟเวอร์ที่เป็นอันตรายก่อนจะปิดตัวลง นักวิจัยระบุว่าการออกแบบของมัลแวร์ทำให้ตรวจจับได้ยากขึ้น เนื่องจากไม่ต้องการปลั๊กอินเพิ่มเติมและจะหยุดทำงานเมื่อการดึงข้อมูลเสร็จสิ้น ทีม Google Threat Intelligence เน้นย้ำว่า Ghostblade ยังมีขั้นตอนในการหลีกเลี่ยงการตรวจจับโดยการลบรายงานข้อขัดข้องที่อาจแจ้งเตือนระบบเทเลเมตรีของ Apple

นอกเหนือจากคีย์ส่วนตัวแล้ว มัลแวร์นี้สามารถเข้าถึงและส่งข้อมูลข้อความจาก iMessage, Telegram และ WhatsApp นอกจากนี้ยังสามารถเก็บข้อมูลซิมการ์ด รายละเอียดตัวตนของผู้ใช้ ไฟล์มัลติมีเดีย ข้อมูลตำแหน่งทางภูมิศาสตร์ และเข้าถึงการตั้งค่าระบบต่างๆ เฟรมเวิร์ก DarkSword ที่กว้างขึ้นซึ่ง Ghostblade เป็นส่วนหนึ่งนั้น ถูกอ้างอิงโดย Google ว่าเป็นส่วนหนึ่งของชุดภัยคุกคามที่กำลังพัฒนาซึ่งแสดงให้เห็นว่าผู้โจมตีปรับปรุงชุดเครื่องมือของพวกเขาอย่างต่อเนื่องเพื่อกำหนดเป้าหมายผู้ใช้คริปโต

สำหรับผู้อ่านที่ติดตามแนวโน้มภัยคุกคาม Ghostblade ตั้งอยู่ควบคู่กับส่วนประกอบอื่นๆ ของห่วงโซ่การโจมตี DarkSword iOS ที่อธิบายโดย Google Threat Intelligence ชุดเครื่องมือนี้ถูกสังเกตภายในบริบทที่กว้างขึ้นของวิวัฒนาการภัยคุกคามคริปโต รวมถึงรายงานเกี่ยวกับชุดเครื่องมือโจมตีบน iOS ที่ใช้ในแคมเปญฟิชชิ่งคริปโต

ประเด็นสำคัญ

• Ghostblade เป็นภัยคุกคามขโมยคริปโตที่ใช้ JavaScript บน iOS ส่งมอบเป็นส่วนหนึ่งของระบบนิเวศ DarkSword และออกแบบมาเพื่อการดึงข้อมูลอย่างรวดเร็ว
• มัลแวร์ทำงานในช่วงสั้นๆ และไม่ต่อเนื่อง ลดโอกาสของการยึดครองอุปกรณ์ระยะยาวและทำให้การตรวจจับซับซ้อนขึ้น
• สามารถส่งต่อข้อมูลที่ละเอียดอ่อนจาก iMessage, Telegram และ WhatsApp และสามารถเข้าถึงข้อมูลซิม ข้อมูลตัวตน มัลติมีเดีย ตำแหน่งทางภูมิศาสตร์ และการตั้งค่าระบบ พร้อมทั้งลบรายงานข้อขัดข้องเพื่อหลีกเลี่ยงการค้นพบ
• การพัฒนานี้สอดคล้องกับการเปลี่ยนแปลงที่กว้างขึ้นในภูมิทัศน์ภัยคุกคามไปสู่กลยุทธ์วิศวกรรมสังคมและการดึงข้อมูลที่ใช้ประโยชน์จากพฤติกรรมมนุษย์ ไม่ใช่เพียงช่องโหว่ซอฟต์แวร์
• ความสูญเสียจากการแฮ็กคริปโตในเดือนกุมภาพันธ์ลดลงอย่างรวดเร็วเหลือ 49 ล้านดอลลาร์จาก 385 ล้านดอลลาร์ในเดือนมกราคม เป็นสัญญาณการเปลี่ยนจากการบุกรุกที่ใช้โค้ดไปสู่เทคนิคฟิชชิ่งและการวางยาพิษกระเป๋าเงิน ตามรายงานของ Nominis

Ghostblade และระบบนิเวศ DarkSword: สิ่งที่ทราบ

นักวิจัยของ Google อธิบาย Ghostblade ว่าเป็นส่วนประกอบของกลุ่ม DarkSword ซึ่งเป็นชุดเครื่องมือมัลแวร์บนเบราว์เซอร์ที่กำหนดเป้าหมายผู้ใช้คริปโตโดยการขโมยคีย์ส่วนตัวและข้อมูลที่เกี่ยวข้อง แกน JavaScript ของ Ghostblade ช่วยให้มีปฏิสัมพันธ์กับอุปกรณ์ได้อย่างรวดเร็วในขณะที่ยังคงเบาและชั่วคราว การเลือกออกแบบนี้สอดคล้องกับภัยคุกคามบนอุปกรณ์ล่าสุดอื่นๆ ที่ชอบวงจรการดึงข้อมูลที่รวดเร็วมากกว่าการติดเชื้อที่ยาวนาน

ในทางปฏิบัติ ความสามารถของมัลแวร์ขยายออกไปเกินกว่าการขโมยคีย์เพียงอย่างเดียว ด้วยการเข้าถึงแอปส่งข้อความเช่น iMessage, Telegram และ WhatsApp ผู้โจมตีสามารถสกัดกั้นการสนทนา ข้อมูลรับรอง และไฟล์แนบที่อาจละเอียดอ่อน การรวมข้อมูลซิมการ์ดและการเข้าถึงตำแหน่งทางภูมิศาสตร์ขยายพื้นผิวการโจมตีที่เป็นไปได้ ทำให้เกิดสถานการณ์การขโมยตัวตนและการฉ้อโกงที่ครอบคลุมมากขึ้น สิ่งสำคัญคือความสามารถของมัลแวร์ในการลบรายงานข้อขัดข้องทำให้กิจกรรมยิ่งคลุมเครือขึ้น ทำให้การตรวจสอบหลังการติดเชื้อซับซ้อนขึ้นทั้งสำหรับเหยื่อและผู้ป้องกัน

ในฐานะส่วนหนึ่งของวาทกรรม DarkSword ที่กว้างขึ้น Ghostblade เน้นย้ำการแข่งขันด้านอาวุธที่กำลังดำเนินอยู่ในข่าวกรองภัยคุกคามบนอุปกรณ์ Google Threat Intelligence ได้กรอบ DarkSword เป็นหนึ่งในตัวอย่างล่าสุดที่แสดงให้เห็นว่าตัวละครที่เป็นอันตรายยังคงปรับปรุงห่วงโซ่การโจมตีที่มุ่งเน้น iOS อย่างต่อเนื่อง ใช้ประโยชน์จากความไว้วางใจอันแข็งแกร่งที่ผู้ใช้มอบให้กับอุปกรณ์และแอปที่พวกเขาพึ่งพาสำหรับการสื่อสารและการเงินประจำวัน

จากการบุกรุกที่เน้นโค้ดสู่การโจมตีปัจจัยมนุษย์

ภูมิทัศน์การแฮ็กคริปโตในเดือนกุมภาพันธ์ 2026 สะท้อนถึงการเปลี่ยนแปลงที่โดดเด่นในพฤติกรรมผู้โจมตี ตามรายงานของ Nominis ความสูญเสียรวมจากการแฮ็กคริปโตลดลงเหลือ 49 ล้านดอลลาร์ในเดือนกุมภาพันธ์ ลดลงอย่างมากจาก 385 ล้านดอลลาร์ในเดือนมกราคม บริษัทระบุว่าการลดลงเกิดจากการเปลี่ยนจากภัยคุกคามที่ใช้โค้ดล้วนๆ ไปสู่แผนการที่ใช้ประโยชน์จากข้อผิดพลาดของมนุษย์ รวมถึงความพยายามฟิชชิ่ง การโจมตีวางยาพิษกระเป๋าเงิน และเวกเตอร์วิศวกรรมสังคมอื่นๆ ที่นำผู้ใช้ไปสู่การเปิดเผยคีย์หรือข้อมูลรับรองโดยไม่รู้ตัว

ฟิชชิ่งยังคงเป็นกลยุทธ์หลัก ผู้โจมตีปรับใช้เว็บไซต์ปลอมที่ออกแบบให้คล้ายกับแพลตฟอร์มที่ถูกต้อง มักมี URL ที่เลียนแบบไซต์จริงเพื่อล่อลวงผู้ใช้ให้ป้อนคีย์ส่วนตัว วลีเมล็ดพันธุ์ หรือรหัสผ่านกระเป๋าเงิน เมื่อผู้ใช้โต้ตอบกับอินเทอร์เฟซที่มีลักษณะคล้ายกันเหล่านี้ ไม่ว่าจะเป็นการเข้าสู่ระบบ การอนุมัติธุรกรรม หรือการวางข้อมูลที่ละเอียดอ่อน ผู้โจมตีจะได้รับการเข้าถึงเงินทุนและข้อมูลรับรองโดยตรง การเปลี่ยนไปสู่การโจมตีที่กำหนดเป้าหมายมนุษย์นี้มีผลกระทบต่อวิธีที่ตลาด กระเป๋าเงิน และผู้ใช้ต้องป้องกันตัวเอง โดยเน้นการศึกษาผู้ใช้ควบคู่ไปกับมาตรการป้องกันทางเทคนิค

จุดข้อมูลเดือนกุมภาพันธ์สอดคล้องกับการบรรยายอุตสาหกรรมที่กว้างขึ้น ในขณะที่การโจมตีระดับโค้ดและ zero-days ยังคงเติบโต ส่วนแบ่งที่เพิ่มขึ้นของความเสี่ยงต่อการถือครองคริปโตมาจากการโจมตีวิศวกรรมสังคมที่ใช้ประโยชน์จากพฤติกรรมมนุษย์ที่มีมาอย่างดี ความไว้วางใจ ความเร่งด่วน และการใช้อินเทอร์เฟซที่คุ้นเคยเป็นนิสัย สำหรับผู้สังเกตการณ์ในอุตสาหกรรม สิ่งที่ได้รับไม่ได้เกี่ยวกับการแพตช์ช่องโหว่ซอฟต์แวร์เท่านั้น แต่ยังเกี่ยวกับการเสริมสร้างองค์ประกอบมนุษย์ของความปลอดภัยผ่านการศึกษา การรับรองความถูกต้องที่แข็งแกร่งขึ้น และประสบการณ์การเริ่มต้นใช้งานที่ปลอดภัยขึ้นสำหรับผู้ใช้กระเป๋าเงิน

ผลกระทบต่อผู้ใช้ กระเป๋าเงิน และผู้สร้าง

การปรากฏของ Ghostblade และแนวโน้มที่มาพร้อมไปสู่การโจมตีที่เน้นมนุษย์เป็นศูนย์กลาง เน้นประเด็นสำคัญที่เป็นประโยชน์หลายประการสำหรับผู้ใช้และนักพัฒนาเหมือนกัน ประการแรก สุขอนามัยของอุปกรณ์ยังคงมีความสำคัญ การรักษา iOS ให้ทันสมัย การใช้มาตรการเสริมความแข็งแกร่งของแอปและเบราว์เซอร์ และการใช้กระเป๋าเงินฮาร์ดแวร์หรือกรงปลอดภัยสำหรับคีย์ส่วนตัวสามารถยกระดับมาตรฐานต่อต้านการโจมตีการดึงข้อมูลอย่างรวดเร็ว

ประการที่สอง ผู้ใช้ควรใช้ความระมัดระวังที่เพิ่มขึ้นกับแอปส่งข้อความและพื้นผิวเว็บ การบรรจบกันของการเข้าถึงข้อมูลบนอุปกรณ์กับการหลอกลวงสไตล์ฟิชชิ่งหมายความว่าแม้แต่การโต้ตอบที่ดูเหมือนไม่เป็นอันตราย การเปิดลิงก์ การอนุมัติสิทธิ์ หรือการวางวลีเมล็ดพันธุ์ สามารถกลายเป็นประตูสู่การโจรกรรม การรับรองความถูกต้องหลายปัจจัย แอปรับรองความถูกต้อง และการป้องกันด้วยไบโอเมตริกซ์สามารถช่วยลดความเสี่ยง แต่การศึกษาและความสงสัยเกี่ยวกับพร้อมท์ที่ไม่คาดคิดก็มีความสำคัญเท่าเทียมกัน

สำหรับผู้สร้าง กรณี Ghostblade เน้นความสำคัญของการควบคุมป้องกันฟิชชิ่ง ขั้นตอนการจัดการคีย์ที่ปลอดภัย และคำเตือนผู้ใช้ที่โปร่งใสเกี่ยวกับการดำเนินการที่ละเอียดอ่อน นอกจากนี้ยังเสริมคุณค่าของการแบ่งปันข่าวกรองภัยคุกคามอย่างต่อเนื่อง โดยเฉพาะเกี่ยวกับภัยคุกคามบนอุปกรณ์ที่ผสมผสานเครื่องมือบนเบราว์เซอร์กับคุณสมบัติของระบบปฏิบัติการมือถือ ความร่วมมือข้ามอุตสาหกรรมยังคงมีความสำคัญในการตรวจจับห่วงโซ่การโจมตีใหม่ก่อนที่จะมีประสิทธิภาพอย่างกว้างขวาง

สิ่งที่ควรติดตามต่อไป

ในขณะที่ Google Threat Intelligence และนักวิจัยอื่นๆ ยังคงติดตามกิจกรรมที่เชื่อมโยงกับ DarkSword ผู้สังเกตการณ์ควรติดตามการอัปเดตเกี่ยวกับห่วงโซ่การโจมตี iOS และการปรากฏของมัลแวร์ที่แอบแฝงและมีระยะเวลาสั้นในลักษณะเดียวกัน การเปลี่ยนแปลงในเดือนกุมภาพันธ์ไปสู่ช่องโหว่ปัจจัยมนุษย์แนะนำอนาคตที่ผู้ป้องกันต้องเสริมสร้างทั้งมาตรการป้องกันทางเทคนิคและการศึกษาที่หันหน้าไปหาผู้ใช้เพื่อลดการเปิดเผยต่อแผนการฟิชชิ่งและการวางยาพิษกระเป๋าเงิน สำหรับผู้อ่าน เหตุการณ์สำคัญถัดไปรวมถึงคำแนะนำข่าวกรองภัยคุกคามอย่างเป็นทางการใดๆ เกี่ยวกับภัยคุกคามคริปโตบน iOS การตรวจจับใหม่จากผู้ให้บริการความปลอดภัย และวิธีที่แพลตฟอร์มหลักปรับมาตรการป้องกันฟิชชิ่งและการฉ้อโกงเพื่อตอบสนองต่อแผนการที่กำลังพัฒนาเหล่านี้

ในระหว่างนี้ การจับตาดูแหล่งข้อมูลข่าวกรองภัยคุกคามอย่างระมัดระวัง เช่น การรายงานของ Google Threat Intelligence เกี่ยวกับ DarkSword และการโจมตี iOS ที่เกี่ยวข้อง พร้อมกับการวิเคราะห์ที่กำลังดำเนินอยู่จาก Nominis และนักวิจัยความปลอดภัยบล็อกเชนอื่นๆ จะมีความสำคัญในการประเมินความเสี่ยงและการปรับปรุงการป้องกันต่อต้านอาชญากรรมไซเบอร์ที่มุ่งเน้นคริปโต

บทความนี้ได้รับการเผยแพร่ครั้งแรกในชื่อ Google Threat Intel Flags Ghostblade as Crypto-Stealing Malware บน Crypto Breaking News – แหล่งข้อมูลที่เชื่อถือได้ของคุณสำหรับข่าวคริปโต ข่าว Bitcoin และการอัปเดตบล็อกเชน