ไมโครซอฟท์เปิดข้อมูลเตือนภัยไซเบอร์ระดับสูง ที่อาศัยเพียงแฟลชไดรฟ์เป็นประตูบุกเครื่องวินโดวส์ มัลแวร์ตัวนี้สอดส่องคลิปบอร์ดอย่างต่อเนื่อง ดักจับ seed phrase และคีย์ส่วนตัว ก่อนสลับที่อยู่ปลายทางของธุรกรรมให้กลายเป็นกระเป๋าของคนร้ายแบบเรียลไทม์ แม้ผู้ที่ถือฮาร์ดแวร์วอลเล็ตก็ไม่ปลอดภัย หากเครื่องที่ใช้เตรียมคำสั่งโอน
รายงานความมั่นคงปลอดภัยของไมโครซอฟท์ ระบุถึงมัลแวร์ตระกูลใหม่ที่มีชื่อว่า CryptoBandits.A โดยพบการแพร่ระบาดตั้งแต่เดือนกุมภาพันธ์ปีเดียวกัน เส้นทางบุกของมันไม่ซับซ้อนแต่อันตรายถึงชีวิตทางการเงิน นั่นคือไฟล์ลัดนามสกุล .lnk ซึ่งถูกบรรจุไว้ภายในอุปกรณ์ยูเอสบี เมื่อผู้ใช้เปิดไฟล์ที่พรางตัวว่าเป็นเอกสารหรือโฟลเดอร์ธรรมดา กลไกโจมตีจะทำงานทันทีด้วยการสแกนไดรฟ์ ซ่อนไฟล์ของจริง และสร้างไฟล์ลัดชื่อเดิมขึ้นมาใหม่แทนที่ ทำให้ใครก็ตามที่เสียบยูเอสบีต่อจากเหยื่อรายแรกกลายเป็นเหยื่อรายต่อไปโดยอัตโนมัติ ลักษณะเช่นนี้ไมโครซอฟท์จัดให้อยู่ภายใต้กรอบ MITRE ATT&CK ในหัวข้อการแพร่กระจายผ่านสื่อบันทึกข้อมูลแบบถอดได้ หรือ Replication through Removable Media
หัวใจของ CryptoBandits.A ซึ่งเหนือชั้นกว่ามัลแวร์ดูดคริปโตทั่วไป อยู่ที่พฤติกรรมหลังแทรกซึมระบบสำเร็จ มันจะตั้งวงจรตรวจสอบคลิปบอร์ดทุก 500 มิลลิวินาที หรือครึ่งวินาที กรองหาสายอักขระที่เข้าข่ายซีดเฟรสตามมาตรฐาน BIP39 ทั้งรูปแบบ 12 คำและ 24 คำ, คีย์ส่วนตัวของอีเธอเรียม, รหัส WIF ของบิทคอยน์ ตลอดจนที่อยู่กระเป๋าเงินคริปโตหลากหลายสกุล หากพบซีดเฟรสหรือคีย์ส่วนตัว มัลแวร์จะบันทึกและส่งข้อมูลนั้นออกสู่เซิร์ฟเวอร์ควบคุมผ่านเครือข่าย Tor ทันที หนักกว่านั้นคือเมื่อตรวจพบที่อยู่กระเป๋าที่ผู้ใช้คัดลอกไว้เพื่อเตรียมทำธุรกรรม มันจะสลับเป็นที่อยู่ของผู้โจมตีอย่างเงียบเชียบ พร้อมปรับแต่งอักขระบางตำแหน่งให้ละม้ายคล้ายของจริงเพื่อหลบการตรวจสอบด้วยสายตา ยกตัวอย่างเช่น ตั้งใจให้อักขระต้นของที่อยู่ตรงกันสำหรับบิทคอยน์ ทรอน และมอนเนอโร หรือเปลี่ยนเฉพาะอักขระตัวสุดท้ายในที่อยู่แบบ Bech32 ซึ่งเป็นกลเม็ดที่หลอกผู้ใช้ซึ่งตรวจเช็กเพียงเผิน ๆ ได้อย่างแนบเนียน
มิติที่นักลงทุนสถาบันและผู้ดูแลสินทรัพย์ดิจิทัลต้องตั้งคำถามอย่างจริงจังคือ สมมติฐานที่ว่าฮาร์ดแวร์วอลเล็ตคือเกราะสมบูรณ์แบบกำลังถูกสั่นคลอน คีย์ส่วนตัวที่เก็บอยู่ในอุปกรณ์ฮาร์ดแวร์อาจยังคงปลอดภัยจากการถูกอ่านออกไปตรง ๆ ทว่าที่อยู่ปลายทางซึ่งคัดลอกผ่านเครื่องที่ติดมัลแวร์กลับถูกเปลี่ยนก่อนนำไปวางในช่องรับเงินบนแพลตฟอร์มหรือกระเป๋าปลายทาง กรณีเลวร้ายที่สุดคือผู้ใช้ที่พิมพ์หรือวาง seed phrase ลงบนเครื่องที่มี CryptoBandits.A ฝังตัวอยู่ เพราะนั่นเท่ากับส่งมอบสิทธิ์ขาดเหนือกระเป๋าทั้งใบให้ผู้โจมตีโดยสมบูรณ์
งานด้านเทคนิคของมัลแวร์ยังสะท้อนความพยายามปิดบังเส้นทางอย่างเป็นระบบ นอกเหนือจากการส่งออกข้อมูลผ่านพร็อกซี SOCKS5 บน localhost:9050 ซึ่งอาศัยเครือข่าย Tor เป็นช่องทางหลักจนการบล็อกตามปลายทางทำได้ยากแล้ว CryptoBandits.A ยังฝังจาวาสคริปต์ที่มีการสับสนคำสั่งไว้ใต้ไดเรกทอรี C:\Users\Public\Documents และตั้ง Scheduled Task เพื่อรักษาการคงอยู่ในระบบ รวมถึงแยกงานอีกรายการหนึ่งสำหรับแพร่สำเนาตนเองไปยังยูเอสบีทุกอันที่เสียบเข้ากับเครื่องเพิ่มเติม มันยังลอบจับภาพหน้าจอและส่งออกไปพร้อมกัน ยกระดับการจารกรรมให้เหนือกว่าการขโมยคลิปบอร์ดเปล่า ๆ
ด้านแนวทางป้องกัน ไมโครซอฟท์แนะนำมาตรการระดับนโยบายและเทคนิคควบคู่กัน ได้แก่ การปิดฟังก์ชัน AutoRun และ AutoPlay สำหรับสื่อถอดได้ทุกรูปแบบ บล็อกการรันไฟล์ .lnk จากยูเอสบีผ่าน Group Policy จำกัดสิทธิ์การใช้งาน wscript.exe และ cscript.exe อย่างเคร่งครัด เฝ้าระวัง Scheduled Task ที่ผิดปกติบนอุปกรณ์ซึ่งเกี่ยวข้องกับธุรกรรมการเงิน และกำหนดให้ทีมรักษาความปลอดภัยจับตาพฤติกรรมที่ script engine เรียก curl หรือ PowerShell โดยไม่คาดคิด รวมถึงติดตามกิจกรรม SOCKS5 proxy บนพอร์ต 9050 อย่างใกล้ชิด
อย่างไรก็ตาม ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าความเสียหายรวม จำนวนผู้ตกเป็นเหยื่อ การกระจายตัวทางภูมิศาสตร์ หรือระบุตัวผู้อยู่เบื้องหลังการโจมตี จึงยังไม่สามารถประเมินขนาดของภัยคุกคามรอบนี้ได้อย่างแม่นยำ แต่ลำพังพิมพ์เขียวการทำงานของมัลแวร์ก็เพียงพอที่จะส่งสัญญาณสำคัญแก่ผู้ถือครองคริปโตในประเทศไทยและอาเซียนซึ่งมีสัดส่วนการดูแลสินทรัพย์ด้วยตนเองสูงว่าระบบความปลอดภัยที่แท้จริงต้องครอบคลุมถึงอุปกรณ์ปลายทางที่ใช้จัดเตรียมธุรกรรม ไม่ใช่แค่การเลือกใช้ฮาร์ดแวร์วอลเล็ตหรือกระเป๋าซอฟต์แวร์ที่มีชื่อเสียงเพียงอย่างเดียว
นัยเชิงนโยบายที่ต้องจับตาต่อจากนี้คือทิศทางของสถาบันการเงินและแพลตฟอร์มสินทรัพย์ดิจิทัลที่จะต้องแยกเครื่องสำหรับลงนามและสร้างธุรกรรมออกจากอุปกรณ์ใช้งานทั่วไปอย่างเด็ดขาด มาตรการระดับองค์กรสำหรับโต๊ะที่ดูแลพอร์ตสินทรัพย์ดิจิทัลอาจกลายเป็นข้อบังคับใหม่เร็วกว่าที่ตลาดคาด และเป็นโจทย์ทดสอบว่าอุตสาหกรรมคริปโตจะก้าวข้ามความเชื่อเดิมที่ว่าการถือคีย์ด้วยตนเองคือจุดจบของความเสี่ยง หรือจะเรียนรู้จาก CryptoBandits.A ว่าจุดอ่อนมักอยู่ตรงที่เราคิดว่ามันปลอดภัยดีแล้วนั่นเอง
