คริปโทเคอร์เรนซีมูลค่ากว่า 300 ล้านดอลลาร์สหรัฐ ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ และการฉ้อโกง ถูกอายัดไว้จากความร่วมมือระหว่างหน่วยงานบังคับใช้กฎหมาย และบริษัทเอกชน ผ่านการดำเนินงานที่แยกกันอย่างอิสระ

หนึ่งในปฏิบัติการสำคัญคือโครงการ T3+ Global Collaborator Program ที่จัดตั้งขึ้นโดยหน่วยงาน T3 Financial Crime Unit (T3 FCU) ซึ่งเป็นโครงการระหว่าง TRM Labs, TRON และ Tether และเริ่มดำเนินการเมื่อราวหนึ่งปีก่อน โดยมี Binance ในฐานะสมาชิกอย่างเป็นทางการรายแรก โดยทั้งหมดล้วนเป็นองค์กรชั้นนำในแวดวงบล็อกเชน

TRM Labs เปิดเผยว่า ตั้งแต่เริ่มโครงการในเดือนกันยายน 2024 เป็นต้นมา ได้มีการอายัดทรัพย์สินที่เกี่ยวข้องกับอาชญากรรมทั่วโลกมูลค่ากว่า 250 ล้านดอลลาร์สหรัฐ โดยในจำนวนนี้มีเงิน 6 ล้านดอลลาร์สหรัฐที่ถูกอายัดจากความร่วมมือกับ Binance เพื่อปราบปรามกลโกงแบบ Romance Baiting

นอกจากนี้ TRM Labs ยังรายงานว่า หน่วยงาน T3 FCU ได้ทำงานอย่างใกล้ชิดกับหน่วยงานบังคับใช้กฎหมายทั่วโลก ตั้งแต่ก่อตั้งในเดือนกันยายน 2024 โดยได้ตรวจสอบธุรกรรมหลายล้านรายการในห้าทวีป และติดตามการเคลื่อนไหวทางการเงินรวมกว่า 3 พันล้านดอลลาร์สหรัฐ เพื่อขัดขวางเครือข่ายอาชญากรรมอย่างมีประสิทธิภาพ

ตลอดระยะเวลาการดำเนินงาน T3 FCU มีบทบาทสำคัญในการสนับสนุนการสอบสวนคดีฟอกเงิน, ฉ้อโกงการลงทุน, การข่มขู่เรียกทรัพย์, การจัดหาเงินทุนแก่การก่อการร้าย และอาชญากรรมทางการเงินขั้นรุนแรงอื่น ๆ ทั่วโลก

ปฏิบัติการครั้งที่สองนี้เกิดขึ้นจากการร่วมมือระหว่างสหรัฐอเมริกา และแคนาดา โดยได้รับการสนับสนุนจากผู้เชี่ยวชาญด้านข่าวกรองบล็อกเชนของ Chainalysis

ความร่วมมือครั้งนี้นำไปสู่การปฏิบัติการสำคัญ 2 โครงการ ได้แก่ "Project Atlas" ซึ่งนำโดยตำรวจออนแทรีโอ (OPP) และ "Operation Avalanche" ซึ่งนำโดยคณะกรรมการกำกับหลักทรัพย์ของบริติชโคลัมเบีย (BCSC) โดยทั้งสองปฏิบัติการนี้ได้ใช้ข้อมูลวิเคราะห์จาก Chainalysis ในการติดตามเงินที่ได้จากการหลอกลวง

ตามรายงานจากแพลตฟอร์มข้อมูลบล็อกเชน การสืบสวนในช่วงหกเดือนที่ผ่านมาได้ค้นพบความสูญเสียจากการฉ้อโกงหลายรูปแบบรวมมูลค่ากว่า 74.3 ล้านดอลลาร์สหรัฐ ซึ่งส่วนใหญ่ถูกอายัดไว้แล้ว

Chainalysis ระบุในแถลงการณ์ว่า “โครงการ Atlas ซึ่งดำเนินการจากแคนาดาแต่มีขอบเขตการทำงานระดับโลก สามารถระบุที่อยู่กระเป๋าเงินคริปโทเคอร์เรนซีที่เกี่ยวข้องกับเหยื่อการฉ้อโกงกว่า 2,000 แห่งใน 14 ประเทศ รวมถึงแคนาดา, สหรัฐอเมริกา, ออสเตรเลีย, เยอรมนี และสหราชอาณาจักร”

“ด้วยความร่วมมือโดยตรงกับ Tether บริษัทสามารถบล็อกเงิน USDT มูลค่ากว่า 50 ล้านดอลลาร์สหรัฐ ทำให้มิจฉาชีพไม่สามารถเคลื่อนย้าย หรือแปลงสินทรัพย์ที่ถูกขโมยเหล่านี้ได้”

ทั้งสองปฏิบัติการ ผสานการสืบสวนอย่างเข้มข้นควบคู่กับความร่วมมือในระดับโลกอย่างเป็นระบบ เพื่อจับตา และเข้าแทรกแซงในระดับบล็อกเชน ส่งผลให้การเคลื่อนย้าย หรือใช้จ่ายเงินที่ได้จากการฉ้อโกงของอาชญากรไซเบอร์ถูกจำกัดลงอย่างมาก

ที่มา : bleepingcomputer.

กระทรวงยุติธรรมของสหรัฐอเมริกาได้ฟ้องร้องอดีตนักศึกษา MIT สองคนในข้อหาควบคุมการจัดการบล็อกเชน Ethereum และขโมยเงินดิจิทัลมูลค่า 25 ล้านดอลลาร์ภายในเวลาประมาณ 12 วินาทีในการดำเนินการ

Anton Peraire-Bueno และ James Pepaire-Bueno ถูกจับในบอสตัน และนิวยอร์กเมื่อวันอังคาร (14 พฤษภาคม 2024) ในข้อหาฉ้อโกง และสมรู้ร่วมคิดในการฉ้อโกง และการฟอกเงิน หากถูกตัดสินว่ามีความผิด แต่ละคนจะต้องได้รับโทษจำคุกสูงสุด 20 ปีแต่ละข้อหา

คดีของพวกเขาถูกสอบสวนโดยหน่วยสืบสวนทางไซเบอร์ของ IRS Criminal Investigation (IRS-CI) ในนิวยอร์ก โดยได้รับความช่วยเหลือจากกรมตำรวจนครนิวยอร์ก และกรมศุลกากร และป้องกันชายแดนของสหรัฐอเมริกา

เดเมียน วิลเลียมส์ อัยการสหรัฐฯ ระบุว่า “สองพี่น้องที่เรียนอยู่ในคณะวิทยาการคอมพิวเตอร์ และคณิตศาสตร์ในมหาวิทยาลัยที่มีชื่อเสียงที่สุดแห่งหนึ่งของโลก ถูกกล่าวหาว่าใช้ทักษะเฉพาะทาง เพื่อแก้ไข และจัดการโปรโตคอลที่ผู้ใช้ Ethereum หลายล้านคนทั่วโลกใช้ในการขโมยเงินดิจิทัล โดยพวกเขาใช้เวลาเพียง 12 วินาทีเท่านั้น”

อดีตนักศึกษาสถาบันเทคโนโลยีแมสซาชูเซตส์ (MIT) สองคนถูกกล่าวหาว่าควบคุมการจัดการกระบวนการตรวจสอบธุรกรรมบนบล็อกเชน โดยการเข้าถึงธุรกรรมส่วนตัวที่รอดำเนินการ เปลี่ยนแปลงธุรกรรม รับสกุลเงินดิจิทัลของเหยื่อ และปฏิเสธคำขอให้คืนเงินที่ถูกขโมย และดำเนินการเพื่อปกปิดกำไรที่ได้มาอย่างผิดกฎหมาย

คำฟ้องอ้างว่าสองพี่น้องได้เรียนรู้พฤติกรรมของเหยื่อ และเตรียมการโจมตีตั้งแต่เดือนธันวาคม 2022 และใช้มาตรการต่าง ๆ เพื่อปกปิดตัวตน และเงินที่ถูกขโมยไป

พวกเขายังใช้ที่อยู่สกุลเงินดิจิทัลหลายแห่ง และการแลกเปลี่ยนเงินตราต่างประเทศ และจัดตั้งบริษัทปลอม ภายหลังจากการโจมตีพวกเขาย้ายสินทรัพย์ crypto ที่ถูกขโมยผ่านการทำธุรกรรมที่จะปิดบังแหล่งที่มา และความเป็นเจ้าของ

ตลอดกระบวนการ ทั้งสองคนยังค้นหาข้อมูลออนไลน์เกี่ยวกับการโจมตี, ปกปิดการมีส่วนร่วมของพวกเขาในการโจมตี, การฟอกเงินผ่านการแลกเปลี่ยนสกุลเงินดิจิทัล, การจ้างทนายความที่มีความเชี่ยวชาญด้านสกุลเงินดิจิทัล รวมถึงขั้นตอนการส่งผู้ร้ายข้ามแดน และอาชญากรรมที่ระบุไว้ในคำฟ้อง

เจ้าหน้าที่พิเศษของ IRS-CI โธมัส ฟัตโตรุสโซ่ ระบุเพิ่มเติมว่า “ทั้งสองคนถูกกล่าวหาว่ากระทำการยักยอก Ethereum blockchain โดยเข้าถึงธุรกรรมที่รอดำเนินการ เปลี่ยนแปลงการเคลื่อนไหวของสกุลเงินอิเล็กทรอนิกส์ และในที่สุดก็ขโมยเงินดิจิทัล 25 ล้านดอลลาร์จากเหยื่อของพวกเขา”

ที่มา: bleepingcomputer.

ช่องโหว่ Zero-day ของ WinRAR (CVE-2023-38831) กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้โจมตีจะหลอกล่อให้เหยื่อคลิกเปิดไฟล์ archive เพื่อติดตั้งมัลแวร์ ซึ่งอาจทำให้ Hacker สามารถขโมยบัญชีซื้อขายสกุลเงินดิจิทัลออนไลน์ได้ โดยนักวิจัยพบว่าช่องโหว่ดังกล่าวได้ถูกนำมาใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2023 เพื่อแพร่กระจายมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT

CVE-2023-38831 เป็นช่องโหว่ Zero-day ของ WinRAR ที่ทำให้สามารถสร้างไฟล์ .RAR และ .ZIP ที่เป็นอันตราย ซึ่งแสดงไฟล์ที่ดูเหมือนไม่มีอันตราย เช่น รูปภาพ JPG (.jpg), ไฟล์ข้อความ (.txt), หรือเอกสาร PDF (.pdf) แต่เมื่อเหยื่อทำการเปิดไฟล์ดังกล่าว ช่องโหว่ก็จะทำการเรียกสคริปต์เพื่อติดตั้งมัลแวร์บนอุปกรณ์ โดย Group-IB เป็นผู้ค้นพบช่องโหว่ CVE-2023-38831 ในเดือนกรกฎาคม 2023 และได้ทำการเผยแพร่รายละเอียดข้อมูลของช่องโหว่ดังกล่าวแล้ว

โดยทาง BleepingComputer ได้ทดสอบเปิดไฟล์ที่เป็นอันตรายซึ่งถูกแชร์โดย Group-IB ซึ่งเป็นผู้ค้นพบแคมเปญการโจมตี ซึ่งพบว่าเพียงดับเบิลคลิกบน PDF ก็ทำให้ CMD script ถูกเรียกใช้งานเพื่อติดตั้งมัลแวร์ทันที

ปัจจุบันช่องโหว่ CVE-2023-38831 ได้รับการแก้ไขแล้วในอัปเดตแพตซ์ของ WinRAR เวอร์ชัน 6.23 ที่ออกมาในวันที่ 2 สิงหาคม 2023 ที่ผ่านมา โดยได้แก้ไขช่องโหว่ต่าง ๆ รวมถึงช่องโหว่ CVE-2023-40477 ที่สามารถดำเนินการคำสั่งเมื่อเปิดไฟล์ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ

การมุ่งเป้าหมายไปที่ crypto traders

นักวิจัยจาก Group-IB ได้เผยแพร่รายงานการค้นพบช่องโหว่ WinRAR Zero-day ได้ถูกใช้เพื่อมุ่งเป้าหมายการโจมตีไปยังฟอรัมที่เกี่ยวกับ cryptocurrency โดย Hacker ได้ปลอมตัวเป็นผู้ที่มาให้ความรู้ และข้อมูลกลยุทธ์การซื้อขาย ซึ่งโพสต์ในฟอรัมจะมีการแนบลิงก์ไปยังไฟล์ WinRAR ZIP หรือ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งประกอบด้วย PDF ไฟล์ข้อความ และรูปภาพ

โดยเอกสารที่แนบมานั้นจะมีชื่อที่ถูกโพสต์ในฟอรัม เช่น "กลยุทธ์ส่วนตัวที่ดีที่สุดในการแลกเปลี่ยนกับ Bitcoin" เพื่อหลอกล่อให้เหยื่อทำการดาวน์โหลด ซึ่งไฟล์อันตรายดังกล่าวได้ถูกเผยแพร่ในฟอรัมการซื้อขายสาธารณะกว่า 8 แห่ง ซึ่งแพร่ระบาดไปยังอุปกรณ์ของผู้ใช้งานที่ได้รับการยืนยันแล้วกว่า 130 ราย โดยขณะนี้ยังไม่ทราบจำนวนเหยื่อ และมูลค่าความเสียหายทางการเงินที่เกิดจากแคมเปญดังกล่าว

ขั้นตอนในการโจมตีประกอบไปด้วย

เมื่อเหยื่อทำการเปิดไฟล์ จะเห็นสิ่งที่ดูเหมือนเป็นไฟล์ที่ไม่เป็นอันตราย เช่น PDF โดยมีโฟลเดอร์ที่ตรงกับชื่อไฟล์เดียวกัน

เมื่อเหยื่อดับเบิลคลิกที่ PDF ช่องโหว่ CVE-2023-38831 จะทำการเรียกสคริปต์ในโฟลเดอร์ เพื่อติดตั้งมัลแวร์บนอุปกรณ์ในเวลาเดียวกัน ซึ่งสคริปต์เหล่านี้จะโหลดเอกสารหลอกล่อเพื่อไม่ให้เหยื่อเกิดความสงสัย

ช่องโหว่ดังกล่าวจะสร้างไฟล์เป็นพิเศษด้วยโครงสร้างที่ได้รับการปรับเปลี่ยนเล็กน้อยเมื่อเปรียบเทียบกับไฟล์ที่ปลอดภัย ซึ่งทำให้ฟังก์ชัน ShellExecute ของ WinRAR ได้รับ parameter ที่ไม่ถูกต้องเมื่อพยายามเปิดไฟล์ล่อ ส่งผลให้โปรแกรมข้ามไฟล์ที่ไม่เป็นอันตราย และค้นหา และเรียกใช้ CMD script แทน ดังนั้นแม้ว่าเหยื่อจะคิดว่าได้ทำการเปิดไฟล์ที่ปลอดภัย แต่โปรแกรมจะเปิดไฟล์อื่นขึ้นมาแทน

ซึ่ง CMD script จะทำการเรียกใช้ไฟล์ self-extracting (SFX) CAB เพื่อติดตั้งมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT ลงบนเครื่องเหยื่อ เพื่อให้สามารถเข้าถึงได้จากระยะไกล

DarkMe malware มีความเชื่อมโยงกับกลุ่ม EvilNum ที่มีเป้าหมายทางการเงิน แต่ปัจจุบันยังไม่พบความเชื่อมโยงของกลุ่ม EvilNum และช่องโหว่ CVE-2023-38831

Remcos RAT เป็น malware ที่ทำให้ Hacker สามารถควบคุมอุปกรณ์ที่ถูกโจมตีได้อย่างมีประสิทธิภาพมากขึ้น รวมถึงการสั่งการจากระยะไกล, keylogging, การจับภาพหน้าจอ การจัดการไฟล์ และการทำ reverse proxy ช่วยเพิ่มความสามารถในการโจมให้ดียิ่งขึ้น

ดังนั้นผู้ใช้ WinRAR จึงควรอัปเดตให้เป็นเวอร์ชันล่าสุด คือ WinRAR version 6.23 เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าวโดยด่วน

 

ที่มา : bleepingcomputer