Infostealer Malware คืออะไร
Infostealer เป็นมัลแวร์ที่มีเป้าหมายเฉพาะเจาะจงไปที่การขโมยข้อมูลภายในเครื่องที่ติดมัลแวร์ โดยการใช้ Infostealer เป็นที่นิยมในกลุ่ม Hacker เพื่อใช้เก็บรวบรวมบัญชีผู้ใช้ และรหัสผ่าน เพื่อนำมาใช้เป็นขั้นตอนแรกในการเข้าสู่ระบบภายในองค์กร (Intial Access) ซึ่งหลังจากเข้าถึงระบบได้แล้ว ก็อาจจะทำการโจมตีในรูปแบบ Ransomware หรือขโมยข้อมูลที่มีความสำคัญอื่น ๆ ออกไปได้
โดย Hacker มักจะหลอกผู้ใช้งานให้ดาวน์โหลด และติดตั้งมัลแวร์ Infostealer ซึ่งมักจะมีขั้นตอนดังนี้ :
- Hacker จะหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ Crack ของโปรแกรมผิดลิขสิทธิ์, ไฟล์ติดตั้งของโปรแกรมที่ได้รับความนิยม ซึ่งถูกดัดแปลง และฝังมัลแวร์ Infostealer ไว้ภายในโปรแกรม โดยผู้ใช้งานมักจะถูกหลอกให้ดาวน์โหลดโปรแกรมผ่านทาง Social Media, Malicious Ads และหน้าเว็บ Phishing
- เมือผู้ใช้งานดาวน์โหลด และติดตั้งมัลแวร์แล้ว Infostealer จะสแกนหาข้อมูลบัญชีผู้ใช้ และรหัสผ่าน หรือข้อมูลสำคัญภายในเครื่อง เช่น บัญชีผู้ใช้ และรหัสผ่านที่ถูกบันทึกไว้ในเว็บเบราว์เซอร์, เว็บเบราว์เซอร์ Cookies และ Crypto Wallet
- ข้อมูลที่ Infostealer พบจะถูกรวบรวม และส่งกลับไปยัง Server ของ Hacker หรือ Telegram Channel
นอกเหนือจากการขโมยข้อมูล Credentials ของผู้ใช้งานแล้ว ในบางกรณีที่ผู้โจมตีเป็นกลุ่มที่อยู่เบื้องหลังการดำเนินการของ Botnet ผู้โจมตีอาจสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกจากระยะไกลได้โดยการส่งคำสั่งเพื่อสั่งการให้เครื่องที่ถูกบุกรุกดำเนินการอื่น ๆ หรือติดตั้งมัลแวร์อื่น ๆ เพิ่มเติม
โดยทั่วไป Infostealer สามารถขโมยข้อมูลดังต่อไปนี้ได้ :
- บัญชีผู้ใช้ และรหัสผ่านที่ถูกบันทึกไว้ในเว็บเบราว์เซอร์
- เว็บเบราว์เซอร์ Cookies
- Crypto Wallet
- VPN credentials
- ไฟล์เอกสารต่าง ๆ
ข้อมูลถูกนำมาขายในตลาดมืด
เมือประมาณเดือนกุมภาพันธ์ 2025 ในกลุ่มตลาดมืดใต้ดินมีการประกาศขายข้อมูลรหัสผ่านผู้ใช้งานมากกว่า 23,000 ล้านรายการ โดยข้อมูลภายในประกอบไปด้วย Url:Username:Password
โดยข้อมูลส่วนใหญ่นั้นถูกรวบรวมมาจากผู้ใช้งานทั่วโลกที่ติดมัลแวร์ประเภท Infostealer ซึ่งจะขโมยบัญชีผู้ใช้งาน และรหัสผ่านภายในเครื่องคอมพิวเตอร์ที่ถูกบุกรุก ซึ่งอาจส่งผลกระทบให้ข้อมูลสำคัญของผู้ใช้งานรั่วไหล หรือผู้ไม่หวังดีสามารถนำมาข้อมูลของผู้ใช้งานที่ถูกขายในตลาดมืด มาใช้เพื่อเข้าสู่ระบบภายในองค์กรต่าง ๆ ได้โดยไม่ได้รับอนุญาต
ผลกระทบต่อประเทศไทย
จากการตรวจสอบข้อมูลที่ถูกประกาศขายในตลาดมืดนั้น พบว่าบางส่วนมีข้อมูลบัญชีของผู้ใช้งาน และรหัสผ่านสำหรับการเข้าใช้งานระบบขององค์กรต่าง ๆ ในประเทศไทยเป็นจำนวนมาก ถึงแม้ว่าข้อมูลที่ประกาศขายอาจจะไม่มีข้อมูลส่วนบุคคลของผู้ใช้งานโดยตรง แต่ถ้ามีผู้ไม่หวังดีนำข้อมูลบัญชีผู้ใช้ และรหัสผ่านเหล่านี้ไปทดลองใช้เข้าสู่ระบบในรูปแบบการโจมตีที่เรียกว่า Credential Stuffing (การนำ Username และ Password ที่รั่วไหลมาจากระบบของผู้ให้บริการรายอื่น หรือจากมัลแวร์ที่มีการขโมยข้อมูลบนเครื่องผู้ใช้งานมาทดลองเข้าสู่ระบบ) ซึ่งหากสามารถเข้าสู่ระบบได้สำเร็จ ก็อาจทำให้สามารถเข้าถึงข้อมูลส่วนบุคคลที่อยู่ภายในบัญชีเหล่านั้นได้ ซึ่งอาจสร้างความเสียหายต่อผู้ใช้งาน รวมถึงองค์กรต่าง ๆ ในประเทศไทยได้ โดยปัจจุบันเริ่มพบเห็นพฤติกรรมการโจมตีโดยใช้ข้อมูลบัญชีผู้ใช้ และรหัสผ่านจากมัลแวร์ Infostealer ลักษณะนี้มาทดลองเข้าใช้งานระบบขององค์กรต่าง ๆ ในประเทศไทยแล้ว
คำแนะนำสำหรับผู้ใช้งานทั่วไป
- ผู้ใช้งานที่สงสัยว่ามีข้อมูลของตนเองรั่วไหลออกไปหรือไม่ สามารถนำอีเมลที่ใช้งานอยู่ไปตรวจสอบกับเว็บไซต์ https://haveibeenpwned.com/ หากพบว่ามีข้อมูลหลุดให้ดำเนินการดังนี้
- Scan เครื่องคอมพิวเตอร์ด้วย Antivirus หรือ Format เครื่องหากเป็นไปได้
- Reset รหัสผ่านทุกบริการที่มีการใช้งานผ่านเครื่องคอมพิวเตอร์
- เปิดใช้งาน MFA กับทุกบริการที่สามารถเปิดใช้งานได้
- ไม่ดาวน์โหลดโปรแกรมผิดลิขสิทธิ์จากแหล่งที่ไม่น่าเชื่อถื่อมาใช้งาน และควรดาวน์โหลดโปรแกรมที่จำเป็นต้องใช้งานจากเว็บไซต์ Official ของ Product นั้น ๆ เท่านั้น
- ไม่ควรบันทึกรหัสผ่านที่ใช้ในการเข้าใช้งานเว็บไซต์ต่าง ๆ บนเว็บเบราว์เซอร์
คำแนะนำสำหรับองค์กร
- ตรวจสอบพฤติกรรมการ Login ในลักษณะผิดปกติ เช่น IP Address ที่พยายาม Login เข้าสู่ระบบด้วย Account ที่แตกต่างกันจำนวนมากในระยะเวลาสั้น ๆ
- ตรวจสอบปริมาณการใช้งานที่มากกว่าปริมาณการใช้งานปกติของผู้ใช้งานทั่วไป เพื่อตั้งค่า Rate limits, Block หรือ Ban IP ที่มีพฤติกรรมน่าสงสัย
- เปิดใช้งาน CAPTCHA เพื่อกำหนดให้ผู้ใช้งานต้องดำเนินการเพื่อพิสูจน์ว่าเป็นมนุษย์ ซึ่งทำให้สามารถชะลอ หรือลดประสิทธิภาพของการการโจมตีด้วยวิธีการ Credential Stuffing ลงได้
- เปิดใช้งาน Multi Factor Authentication (MFA) บนทุกระบบที่มีการ Login เพื่อป้องกันการโจมตีแบบ Credential Stuffing
- เปิดใช้งานฟีเจอร์ Bot Protection บน Web Application Firewall (WAF) เพื่อช่วยลดความเสี่ยงจากการโจมตีแบบ Credential Stuffing
- ติดตั้ง Endpoint Detection and Response (EDR) ให้กับเครื่องของพนักงานในองค์กรเพื่อป้องมัลแวร์ Infostealer
อ้างอิงจาก :
You must be logged in to post a comment.