การป้องกันภัยคุกคามจาก Malware Infostealer

ในยุคดิจิทัลที่ข้อมูลถูกจัดเก็บและแลกเปลี่ยนกันอย่างแพร่หลาย มัลแวร์ (Malware) ได้กลายเป็นหนึ่งในภัยคุกคามที่สำคัญที่สุดที่ทุกคนต้องให้ความสำคัญ มัลแวร์หมายถึงซอฟต์แวร์ที่ถูกพัฒนาขึ้นมาเพื่อก่อความเสียหายหรือเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งประกอบไปด้วยหลากหลายประเภท เช่น ไวรัส (Virus) , ม้าโทรจัน (Trojan) , แรนซัมแวร์ (Ransomware) , และ Infostealer ซึ่งเป็นมัลแวร์ที่มุ่งเน้นในการขโมยข้อมูลส่วนตัว

ที่มา: https://lifeboat.com/blog.images/xloader-windows-infostealer-malware-now-upgraded-to-attack-macos-systems.jpg

Malware Infostealer คืออะไร?

Infostealer เป็นมัลแวร์ประเภทหนึ่งที่ถูกพัฒนาขึ้นมาเพื่อขโมยข้อมูลสำคัญของผู้ใช้ เช่น ชื่อผู้ใช้ รหัสผ่าน ข้อมูลบัตรเครดิต และข้อมูลส่วนตัวอื่น ๆ โดยที่ผู้ใช้ไม่รู้ตัว Infostealer แทรกซึมเข้ามาในระบบคอมพิวเตอร์อย่างลับ ๆ และรวบรวมข้อมูลโดยไม่มีการทิ้งร่องรอย ทำให้มันยากต่อการตรวจจับและกำจัดออกไป

ช่องทางการแพร่กระจายของ Infostealer

Infostealer มักแพร่กระจายตัวเองผ่านหลายช่องทาง เช่น

• อีเมลฟิชชิ่ง: ผู้ใช้อาจถูกหลอกให้คลิกลิงก์ที่มีมัลแวร์ หรือเปิดไฟล์แนบที่ไม่น่าเชื่อถือในอีเมล
• การติดตั้งไฟล์จากแหล่งที่ไม่น่าเชื่อถือ: ไฟล์ที่ถูกติดตั้งจากแหล่งที่ไม่มีความน่าเชื่อถืออาจมีมัลแวร์แฝงไว้ เช่น โปรแกรม Crack สำหรับปลดล็อกซอฟต์แวร์ที่ต้องซื้อ โดยแฮคเกอร์จะทำการแทรกมัลแวร์ลงในโปรแกรมเหล่านี้และมักถูกแจกจ่ายผ่านเว็บไซต์หรือฟอรัม ซึ่งมีความเสี่ยงสูงที่จะมีมัลแวร์แฝงมากับไฟล์
• การโจมตีแบบ Drive-By Downloads: การเข้าเยี่ยมชมเว็บไซต์ที่มีมัลแวร์ฝังไว้ก็อาจทำให้เครื่องติด Infostealer โดยไม่รู้ตัว

กลไกการทำงานของ Infostealer

เมื่อถูกเปิดใช้งาน มันจะเริ่มรวบรวมข้อมูลต่าง ๆ ที่มีอยู่บนเครื่องของผู้ใช้และส่งกลับไปยัง C2 (Command and Control server) ผ่านช่องทางที่เข้ารหัส ซึ่งช่วยให้ข้อมูลที่ถูกขโมยสามารถถูกส่งผ่านระบบได้โดยไม่ถูกตรวจพบ

Infostealer ใช้เทคนิคต่างๆ เพื่อกำหนดเป้าหมายและดึงข้อมูลทางการเงิน ข้อมูลส่วนตัว ข้อมูลการเข้าสู่ระบบ และข้อมูลสำคัญอื่น ๆ จากระบบที่ติดมัลแวร์ ซึ่งมัลแวร์เหล่านี้จะใช้วิธีการต่าง ๆ เพื่อดึงข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ของแฮคเกอร์ ตัวอย่างเช่น มัลแวร์ RedLine Stealer ซึ่งมักใช้ในการขโมยชื่อผู้ใช้งานและรหัสผ่าน และ Azorult ที่มุ่งเน้นในการขโมยข้อมูลทางการเงินและข้อมูลส่วนตัวจากเบราว์เซอร์

วิธีการทำงานของ Infostealer

• Keylogging: การบันทึกแป้นพิมพ์เป็นวิธีการทั่วไปอย่างหนึ่ง โดยจะบันทึกการกดแป้นพิมพ์ของผู้ใช้ แฮคเกอร์สามารถกรองรหัสผ่าน รายละเอียดบัตรเครดิต และข้อมูลส่วนบุคคลที่ละเอียดอ่อนอื่นๆ ออกไปได้ในภายหลัง โดยการบันทึกทุกอย่างที่พิมพ์
• Clipboard Hijacking: Infostealers สามารถตรวจสอบและแก้ไขเนื้อหาคลิปบอร์ดบนอุปกรณ์ที่ติดไวรัส เมื่อผู้ใช้คัดลอกข้อมูล เช่น หมายเลขบัญชีหรือรหัสผ่าน มัลแวร์จะเข้ามาแทนที่หรือขโมยข้อมูลดังกล่าว
• Screenshot Capture: การจับภาพหน้าจอของผู้ใช้ในช่วงเวลาสำคัญ เช่น ขณะป้อนข้อมูลประจำตัวหรือดูข้อมูลส่วนตัว วิธีนี้ช่วยหลีกเลี่ยงข้อจำกัดในการดึงข้อมูลแบบข้อความ โดยจับภาพข้อมูลที่แสดงบนหน้าจอในรูปแบบใดก็ได้
• Browser Session Hijacking: วิธีนี้เกี่ยวข้องกับการขโมยคุกกี้และโทเค็นเซสชันจากหน่วยความจำแคชของเบราว์เซอร์ ซึ่งทำให้แฮคเกอร์สามารถใช้งานเซสชันออนไลน์ของเหยื่อ และเข้าถึงบัญชีออนไลน์โดยไม่ได้รับอนุญาต
• Credential Dumping: วิธีการนี้จะดึงข้อมูลจากบัญชีผู้ใช้ที่เก็บไว้ในระบบ เช่น ชื่อผู้ใช้งานและรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์หรือซอฟต์แวร์ไคลเอนต์อื่น ๆ แฮคเกอร์อาจพยายามแคร็กข้อมูลดังกล่าวแบบออฟไลน์
• Email Harvesting: มัลแวร์จะค้นหาไฟล์และอีเมลที่เก็บไว้ในคอมพิวเตอร์เพื่อรวบรวมที่อยู่อีเมลและข้อมูลการติดต่ออื่น ๆ ซึ่งอาจใช้ในการสแปมหรือโจมตีฟิชชิ่งเพิ่มเติม
• Digital Wallet Harvesting: มัลแวร์ Infostealer บางตัวสามารถค้นหาซอฟต์แวร์กระเป๋าเงินดิจิทัลและพยายามขโมย private key ซึ่งสามารถใช้เพื่อโอนสกุลเงินดิจิทัลของเหยื่อไปยังบัญชีที่แฮคเกอร์ควบคุมได้

ผลกระทบที่เกิดขึ้นเมื่อถูกโจมตีด้วย Infostealer

ตัวอย่าง Credential จาก Infostealer
ที่มา: https://assets-global.website-files.com/657ac0efa4c56f07f2a96a30/6582d620ffcf2eb653c8da87_Figure%252010%2520%25E2%2580%2593%2520Sample%2520Redline%2520log%2520showing%2520exfiltrated%2520credentials.png

การถูกโจมตีโดย Infostealer สามารถสร้างผลกระทบอย่างร้ายแรง ข้อมูลส่วนตัวที่ถูกขโมยอาจถูกนำไปใช้ในทางที่ไม่เหมาะสม เช่น การทำธุรกรรมที่ไม่ได้รับอนุญาต หรือการขโมยเงินจากบัญชีธนาคาร สำหรับธุรกิจ การรั่วไหลของข้อมูลลูกค้าอาจทำให้สูญเสียความเชื่อมั่นจากลูกค้า และอาจเผชิญกับผลทางกฎหมายที่ตามมา

วิธีการป้องกัน Malware Infostealer

การป้องกัน Infostealer ควรทำหลายขั้นตอนเพื่อให้เกิดความปลอดภัยสูงสุด เช่น

• ติดตั้งและอัปเดตโปรแกรม Antivirus อย่างสม่ำเสมอเพื่อป้องกันการโจมตีจากมัลแวร์ชนิดต่าง ๆ
• ระมัดระวังการดาวน์โหลดไฟล์และการคลิกลิงก์ในอีเมล ควรตรวจสอบว่าไฟล์และลิงก์มาจากแหล่งที่น่าเชื่อถือ
• ใช้การยืนยันตัวตนสองขั้นตอน (Two-Factor Authentication) เพิ่มความปลอดภัยให้กับบัญชีต่าง ๆ
• เปลี่ยนรหัสผ่านบ่อย ๆ เพื่อลดโอกาสที่ข้อมูลจะถูกนำไปใช้ หากรหัสผ่านหลุดไปแล้ว

Personar: แพลตฟอร์ม Threat Intelligence สำหรับการตรวจจับการรั่วไหลของข้อมูล

Personar เป็นแพลตฟอร์ม Threat Intelligence ที่ช่วยให้องค์กรสามารถเฝ้าระวังและป้องกันการรั่วไหลของข้อมูลสำคัญได้อย่างมีประสิทธิภาพ ด้วยการทำงานของระบบ Credential Leak Monitoring ซึ่งสามารถแจ้งเตือนเมื่อพบการรั่วไหลของข้อมูล เช่น รหัสผ่านหรือข้อมูลส่วนตัวอื่น ๆ ช่วยให้องค์กรสามารถตอบสนองต่อภัยคุกคามได้อย่างรวดเร็ว ลดความเสี่ยงจากการถูกโจมตี และปกป้องข้อมูลสำคัญได้อย่างมั่นคง

สุดท้ายนี้ ในยุคดิจิทัลที่มนุษย์มีการเก็บข้อมูลบนโลกออนไลน์มากขึ้นไม่ทางใดก็ทางหนึ่ง ทำให้มีผู้ไม่หวังดีกับข้อมูลเหล่านั้นที่ถูกเก็บเอาไว้ ต่อให้เราระมัดระวังตัวเองมากเพียงใด แต่หากผู้ให้บริการต่าง ๆ ถูกโจมตีแล้วข้อมูลรั่วไหลไปนั้นก็ส่งผลกระทบถึงเราได้เช่นกัน ดังนั้นหากเราสามารถรู้ได้รวดเร็วและดำเนินการแก้ไขสิ่งที่เกิดขึ้นได้อย่างทันท่วงที ผลกระทบก็จะยิ่งน้อยหรือไม่เกิดขึ้นเลยครับ ด้วยเครื่องมืออย่าง Personar ที่มีระบบการแจ้งเตือนข้อมูลรั่วไหล องค์กรสามารถทราบถึงการรั่วไหลของข้อมูลและตอบสนองได้อย่างรวดเร็ว ช่วยลดความเสี่ยงและปกป้องข้อมูลสำคัญได้อย่างมีประสิทธิภาพ