Attackers Abuse Discord to Deliver Clipboard Hijacker That Steals Wallet Addresses on Paste

ข่าวนี้เปิดเผยถึงแคมเปญมัลแวร์ประเภท Clipboard Hijacker ที่กำลังแพร่ระบาดอย่างเงียบๆ เพื่อขโมยสกุลเงินดิจิทัลจากนักเล่นเกมและสตรีมเมอร์ โดยการใช้ Discord เป็นช่องทางหลัก ผู้โจมตีสร้างความน่าเชื่อถือในชุมชน Discord ที่เกี่ยวข้องกับเกม การพนัน และการสตรีมคริปโต ก่อนที่จะแจกจ่ายโปรแกรม Windows ที่เป็นอันตรายในชื่อ ‘Pro.exe’ หรือ ‘peeek.exe’ โดยอ้างว่าเป็นเครื่องมือช่วยจัดการหรือป้องกันที่อยู่กระเป๋าเงิน เมื่อติดตั้งแล้ว มัลแวร์จะเฝ้าดูคลิปบอร์ดของผู้ใช้ และเมื่อตรวจพบที่อยู่กระเป๋าเงินคริปโตที่ถูกคัดลอก มันจะสลับเปลี่ยนเป็นที่อยู่ของกระเป๋าเงินผู้โจมตีทันที ทำให้เงินถูกโอนไปยังผู้โจมตีโดยที่เหยื่อไม่ทันสังเกตเห็นจนกว่าจะสายเกินไป

Severity: สูง

System Impact:

• Discord communities (แพลตฟอร์มในการแพร่กระจาย)
• Windows operating systems (เป้าหมายหลักของมัลแวร์)
• Cryptocurrency wallets (Bitcoin, Ethereum, Solana, Dogecoin, Litecoin, Tron)
• แพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัล
• ช่องทางการชำระเงินคริปโต

Technical Attack Steps:

1. ผู้โจมตี ‘RedLineCyber’ สร้างความสัมพันธ์และความน่าเชื่อถือใน Discord servers ที่เกี่ยวข้องกับเกม การพนัน และการสตรีมคริปโต
2. ผู้โจมตีแจกจ่ายโปรแกรม Windows ที่เป็นอันตราย (เช่น Pro.exe หรือ peeek.exe) โดยอ้างว่าเป็นเครื่องมือสำหรับสตรีมมิ่งหรือเครื่องมือรักษาความปลอดภัย
3. เหยื่อดาวน์โหลดและติดตั้งไฟล์เรียกทำงานที่ถูกปลอมแปลง
4. เมื่อติดตั้งแล้ว มัลแวร์จะสร้างโฟลเดอร์ชื่อ ‘CryptoClipboardGuard’ ในไดเรกทอรี %APPDATA% ของ Windows
5. มัลแวร์จะลงทะเบียนตัวเองใน Run key ของ Registry เพื่อให้ทำงานโดยอัตโนมัติทุกครั้งที่ระบบบูต
6. มัลแวร์จะทำงานในลักษณะวนซ้ำ เพื่อตรวจสอบเนื้อหาในคลิปบอร์ดประมาณ 3 ครั้งต่อวินาที
7. เมื่อตรวจพบว่ามีการคัดลอกที่อยู่กระเป๋าเงินคริปโตที่ตรงกับรูปแบบที่กำหนด (ด้วย Base64-encoded regular expressions) มัลแวร์จะเปลี่ยนที่อยู่ในคลิปบอร์ดเป็นที่อยู่กระเป๋าเงินของผู้โจมตีทันที
8. เหยื่อวางที่อยู่กระเป๋าเงินที่ถูกเปลี่ยนแปลงลงในแพลตฟอร์มแลกเปลี่ยนหรือกระเป๋าเงิน ทำให้การโอนเงินผิดพลาดไปหาผู้โจมตี
9. มัลแวร์บันทึกข้อมูลการสลับที่อยู่ในไฟล์ activity.log ภายใน %APPDATA%\CryptoClipboardGuard

Recommendations:

Short Term:

• ตรวจสอบความถูกต้องของที่อยู่กระเป๋าเงินคริปโตที่คัดลอกมา *ก่อน* วางทุกครั้ง โดยเปรียบเทียบตัวอักษรไม่กี่ตัวแรกและตัวอักษรไม่กี่ตัวสุดท้าย
• ระมัดระวังอย่างยิ่งกับไฟล์ที่ได้รับจากแหล่งที่ไม่น่าเชื่อถือบน Discord หรือแพลตฟอร์มการสื่อสารอื่นๆ แม้จะมาจากบุคคลที่รู้จัก
• ใช้โปรแกรมป้องกันมัลแวร์ (Antivirus/EDR) ที่มีการอัปเดตล่าสุดเพื่อสแกนระบบทันที หากสงสัยว่ามีการติดเชื้อ

Long Term:

• ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับกลวิธีทางวิศวกรรมสังคม (Social Engineering) โดยเฉพาะการหลอกให้ติดตั้งโปรแกรมที่เป็นอันตรายที่แฝงมาในรูปแบบเครื่องมือที่มีประโยชน์
• ใช้โซลูชันความปลอดภัยของ Endpoint ที่มีประสิทธิภาพ ซึ่งสามารถตรวจจับและป้องกันมัลแวร์ประเภท Clipboard Hijacker และไฟล์ที่แพ็กด้วย PyInstaller ที่น่าสงสัย
• เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีและแพลตฟอร์มที่เกี่ยวข้องกับสกุลเงินดิจิทัลทั้งหมด
• พิจารณาการใช้ Hardware Wallet (กระเป๋าเงินฮาร์ดแวร์) สำหรับการจัดเก็บสินทรัพย์ดิจิทัลจำนวนมาก เพื่อเพิ่มชั้นความปลอดภัย

Source: https://cybersecuritynews.com/attackers-abuse-discord-to-deliver-clipboard-hijacker/