Microsoft ออกโรงเตือนภัย! พบมัลแวร์ตัวใหม่ชื่อ StilachiRAT ที่พุ่งเป้าโจมตีผู้ใช้งานคริปโตโดยเฉพาะ มันทำงานแบบ Remote Access Trojan (RAT) หรือก็คือโปรแกรมแอบควบคุมเครื่องจากระยะไกล พร้อมขโมยทั้งข้อมูลกระเป๋าเงินดิจิทัล รหัสผ่าน และข้อมูลทางการเงินต่างๆ ผ่านเบราว์เซอร์ Google Chrome

รายชื่อ Wallet ที่อยู่ในลิสต์เป้าหมายของ StilachiRAT

มัลแวร์ตัวนี้สแกน Extension ที่เกี่ยวกับคริปโตทั้งหมด 20 ตัว โดยเฉพาะ:

  • Bitget Wallet (เดิมชื่อ Bitkeep)
  • Trust Wallet
  • Tronlink
  • Metamask
  • TokenPocket
  • BNB Chain Wallet
  • OKX Wallet
  • Sui Wallet
  • Braavos (Starknet)
  • Coinbase Wallet
  • Leap (Cosmos)
  • Manta Wallet
  • Keplr
  • Phantom
  • Compass Wallet (Sei)
  • Math Wallet
  • Fractal Wallet
  • Station Wallet
  • ConfluxPortal
  • Plug

เทคนิคเจาะระบบ – ขโมยได้แม้กระทั่ง Password ที่ Chrome เก็บไว้

นอกจากเจาะ Extension กระเป๋าคริปโต StilachiRAT ยังสามารถ “ถอดรหัส” ข้อมูลล็อกอินที่เก็บไว้ใน Google Chrome ได้ด้วย โดยมันดึง encryption_key จากไฟล์ Local State แล้วใช้ API ของ Windows เพื่อถอด master key ที่เข้ารหัสไว้ตอนติดตั้ง Chrome ใหม่ๆ

ผลลัพธ์คือ:

 รหัสผ่านบัญชีเว็บต่างๆ (รวมถึงแพลตฟอร์มการเงิน) สามารถถูกดึงออกมาได้ทั้งหมด

ความสามารถอื่นๆ ที่อันตรายไม่แพ้กัน:

  • สอดแนม Clipboard ตลอดเวลา:

     ถ้าเราคัดลอก Wallet Address หรือ Private Key ไปวางที่ไหน มันสามารถตรวจจับข้อมูลได้ทันที
  • เปลี่ยน Address ขณะโอนเงิน:

     หากคุณ Copy ที่อยู่กระเป๋าคริปโตเพื่อโอน มันสามารถแอบสลับ Address เป็นของคนร้าย โดยที่คุณไม่รู้ตัว
  • ตั้ง C2 Connection ควบคุมจากระยะไกล:

     เปิดช่องให้แฮกเกอร์ส่งคำสั่ง ควบคุมเครื่อง ลบ Log หรือฝังตัวถาวรแบบเงียบๆ

วิธีป้องกันไม่ให้โดนดูดคริปโตโดยไม่รู้ตัว:

  1. อย่าโหลดซอฟต์แวร์หรือไฟล์จากแหล่งที่ไม่เชื่อถือ
  2. อัปเดต Chrome และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด
  3. ใช้เบราว์เซอร์ที่มีระบบ sandbox และไม่เก็บรหัสผ่านในตัว
  4. เปิด Microsoft Defender และฟีเจอร์ Advanced Protection
  5. แยกเครื่องหรืออุปกรณ์สำหรับการจัดการคริปโตโดยเฉพาะ

Reference : Bitcoin News