แฮ็กเกอร์ได้สร้างกลุ่มพูดคุยสำหรับเกม Play-to-earn ปลอม ที่ชื่อว่า 'Cthulhu World' ซึ่งมีทั้งเว็บไซต์ กลุ่ม Discord บัญชีโซเชียล และเว็ปไซต์สำหรับนักพัฒนา เพื่อแพร่กระจายมัลแวร์ Raccoon Stealer, AsyncRAT และ RedLine เพื่อใช้ขโมยข้อมูลของเหยื่อที่หลงเชื่อ
เนื่องจากปัจจุบันเกมประเภท Play-to-earn กำลังเพิ่มสูงขึ้นเป็นจำนวนมาก กลุ่มผู้โจมตีจึงมุ่งเป้าไปยังกลุ่มผู้ที่สนใจแพลตฟอร์มประเภทนี้
โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ชื่อว่า iamdeadlyz เป็นผู้พบว่าทั้งโปรเจ็คของ 'Cthulhu World' ถูกสร้างขึ้นอย่างปลอม ๆ ทั้งหมด
โดยผู้โจมตีจะส่งข้อความไปยังผู้ใช้งานบน Twitter โดยตรง เพื่อชักชวนให้ทำการทดสอบเกมใหม่ของพวกเขา โดยเพื่อเป็นการตอบแทนสำหรับการทดสอบ และช่วยโปรโมตเกม iamdeadlyz ระบุว่าผู้โจมตีสัญญาว่าจะให้รางวัลเป็น Ethereum จำนวนหนึ่ง
เมื่อเข้าไปยังเว็บไซต์ cthulhu-world.com (ซึ่งขณะนี้ปิดให้บริการ) จะพบว่าเว็บไซต์ได้รับการอกแบบมาเป็นอย่างดี ประกอบด้วยข้อมูลเกี่ยวกับโครงการ และแผนที่ของสภาพแวดล้อมของเกม
ซึ่งจริง ๆ แล้วเว็ปไซต์ดังกล่าว เป็นการโคลนมาจากโปรเจ็ค Alchemic World ที่มีอยู่จริง ๆ ซึ่งทางนักพัฒนาได้เคยออกมาเตือนผู้ใช้งานให้ระมัดระวังเว็ปไซต์ปลอมมาแล้วก่อนหน้านี้
ซึ่งเว็บไซต์ Cthulhu World ปลอม เมื่อผู้ใช้งานคลิกที่ลูกศรที่มุมบนขวาของเว็ปไซต์ ผู้ใช้งานจะถูกนำไปยังหน้าเพจที่ต้องใส่รหัสเพื่อดาวน์โหลดการทดสอบในช่วง "อัลฟ่า" ของโปรเจ็ค
ซึ่งรหัสเหล่านี้จะได้มาจากการที่ผู้โจมตีส่งให้กับผู้ที่มีแนวโน้มว่าอาจจะตกเป็นเหยื่อทาง DM บน Twitter
เมื่อมีการกรอกรหัสผ่าน หนึ่งในสามไฟล์เหล่านี้จะถูกดาวน์โหลดผ่านทาง DropBox
ไฟล์ทั้งสามไฟล์จะทำการติดตั้งมัลแวร์ที่แตกต่างกัน ซึ่งผู้โจมตีจะเลือกว่าเป้าหมายว่าจะติดตั้งมัลแวร์ตัวใดสำหรับผู้ใช้งานรายไหน (คาดว่าเป็นข้อมูลที่ได้จากการพูดคุยทาง DM ใน Twitter) มัลแวร์ทั้งสามตัวได้แก่ AsyncRAT, RedLine Stealer และ Raccoon Stealer
ปัจจุบันเว็ปไซต์ Cthulhu World ไม่สามารถเข้าใช้งานได้แล้ว แต่ Discord ยังคงเข้าใช้งานอยู่ ไม่ชัดเจนว่าผู้ใช้งานใน Discord นี้ ทราบหรือไม่ว่าโปรเจ็คนี้ถูกใช้เพื่อแพร่กระจายมัลแวร์ แต่ดูเหมือนว่าผู้ใช้งานบางคนยังเชื่อว่าโปรเจ็คดังกล่าวมีอยู่จริง
เนื่องจาก RedLine Stealer และ Raccoon Stealer เป็นที่รู้กันดีว่าสามารถขโมยข้อมูล cryptocurrency wallets จึงไม่น่าแปลกใจที่พบว่าเหยื่อบางรายถูกขโมยเงินออกไปจนหมด
หากผู้ใช้งานเคยเข้าใช้งานเว็ปไซต์ Cthulhu-world.com และได้มีการดาวน์โหลดซอฟต์แวร์ใด ๆ มา ควรรีบดำเนินการสแกนมัลแวร์บนเครื่องทันที และเนื่องจากมัลแวร์เหล่านี้สามารถขโมยรหัสผ่าน คุกกี้ และ cryptocurrency wallets ได้ ผู้ใช้งานควรรีเซ็ตรหัสผ่านทั้งหมด และสร้าง cryptocurrency wallets ใหม่สำหรับการใช้งาน
แต่วิธีที่ดีที่สุดคือการฟอร์แมทเครื่องเพื่อติดตั้งระบบปฏิบัติการใหม่ เนื่องจากอาจมีมัลแวร์อื่น ๆ ที่ยังไม่ถูกตรวจพบติดตั้งอยู่
ที่มา : bleepingcomputer
You must be logged in to post a comment.