เทรนด์ไมโครเตือน มัลแวร์เรียกค่าไถ่โปเกม่อน โก

ความคลั่งไคล้ในโมบายเกมโปเกม่อน โก คนร้ายเตรียมที่จะใช้ประโยชน์จากความแพร่หลายของเกมดังกล่าวเพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ (Ransomware) โดยมัลแวร์ชนิดใหม่ที่ตรวจพบเมื่อไม่นานมานี้ปลอมแปลงเป็นเกมโปเกม่อน โกสำหรับโปรแกรมวินโดว์ส

โดยเทรนด์ไมโครตรวจพบมัลแวร์ชนิดนี้มีชื่อว่า "Ransom_POGOTEAR.A" ลักษณะคล้ายคลึงกับมัลแวร์เรียกค่าไถ่อื่นๆ

อย่างไรก็ตาม หลังจากที่ตรวจสอบอย่างละเอียด พบว่าผู้สร้างพัฒนาต่อยอดจาก Hidden Tear ซึ่งเป็นมัลแวร์เรียกค่าไถ่แบบโอเพ่นซอร์สที่ถูกเผยแพร่เมื่อเดือนสิงหาคม ปีที่แล้ว โดยมีจุดมุ่งหมายเพื่อให้ความรู้แก่บุคคลทั่วไป

มัลแวร์เรียกค่าไถ่โปเกม่อน โกได้รับการออกแบบให้สร้างบัญชีผู้ใช้ที่เป็นช่องโหว่ภายใต้ชื่อ “Hack3r” ในระบบปฏิบัติการวินโดว์ส และถูกเพิ่มไปยังกลุ่มผู้ดูแลระบบ (Administrator)

นอกจากนี้ ยังมีการปรับเปลี่ยนการลงทะเบียน เพื่อซ่อนบัญชี Hack3r จากหน้าจอล็อกอินของวินโดว์ส และยังมีอีกฟีเจอร์ที่สร้างการใช้งานเครือข่ายร่วมกันบนคอมพิวเตอร์ของเหยื่อ เพื่อให้มัลแวร์เรียกค่าไถ่สามารถแพร่กระจาย ด้วยการคัดลอกไฟล์มัลแวร์ไปยังไดรฟ์ทั้งหมด และเมื่อไฟล์มัลแวร์ถูกคัดลอกไปยังไดรฟ์ที่ถอดออกได้ ก็จะสร้างไฟล์รันอัตโนมัติ (Autorun) เพื่อให้มัลแวร์ทำงานทุกครั้งที่มีใครบางคนเข้าถึงไดรฟ์ที่ถอดออกได้

อีกทั้งไฟล์มัลแวร์ยังถูกคัดลอกไปยังส่วนรูท (Root) ของไดรฟ์แบบติดตั้งถาวรอื่นๆ วิธีนี้จะทำให้มัลแวร์เรียกค่าไถ่โปเกม่อน โก เริ่มทำงานเมื่อเหยื่อล็อกอินเข้าสู่วินโดว์ส

นักวิจัยระบุว่า มีตัวบ่งชี้มากมายที่ทำให้ทราบว่ามัลแวร์เรียกค่าไถ่ดังกล่าวยังคงอยู่ระหว่างการพัฒนา เช่น มีการใช้คีย์เข้ารหัส AES แบบคงที่ “123vivalalgerie” นอกจากนี้ เซิร์ฟเวอร์สั่งการและควบคุม (C&C) ใช้ไอพีแอดเดรสแบบส่วนตัว ซึ่งนั่นหมายความว่ามัลแวร์ไม่สามารถเชื่อมต่อผ่านอินเทอร์เน็ตได้

จากภาษาที่ใช้ในข้อความเรียกค่าไถ่ เชื่อว่ามัลแวร์โปเกม่อน โก น่าจะพุ่งเป้าหมายไปที่ผู้ใช้ที่พูดภาษาอาหรับ โดยหน้าจอเรียกค่าไถ่ที่แนบมาเป็นรูปตัวการ์ตูนปิกาจู

นอกจากนั้น ไฟล์สกรีนเซฟเวอร์ยังประกอบด้วยรูปภาพที่มีข้อความว่า “Sans Titre” ซึ่งเป็นภาษาฝรั่งเศสที่ตรงกับคำว่า “Untitled” นับเป็นเบาะแสหนึ่งที่บ่งบอกถึงแหล่งที่มาของผู้พัฒนา

มัลแวร์เรียกค่าไถ่ Hidden Tear ไม่ใช่สิ่งใหม่ โดยเมื่อเดือนมกราคม 2558 เทรนด์ไมโครได้ตรวจพบเว็บไซต์ที่ถูกแฮ็กในประเทศปารากวัย ซึ่งแพร่กระจายมัลแวร์เรียกค่าไถ่ที่มีชื่อว่า RANSOM_CRYPTEAR.B ทั้งนี้ ข้อมูลวิเคราะห์ชี้ว่า เว็บไซต์ดังกล่าวถูกเจาะระบบโดยแฮ็กเกอร์ชาวบราซิล และมัลแวร์เรียกค่าไถ่ดังกล่าวถูกสร้างขึ้นโดยใช้โค้ด Hidden Tear ที่มีการดัดแปลง ก่อนหน้าที่จะมีการตรวจพบ เมื่อซอร์สโค้ดของ Hidden Tear ถูกเผยแพร่แก่สาธารณชนเพื่อจุดประสงค์ด้านการให้ความรู้ ผู้สร้างได้ระบุอย่างชัดเจนว่าไม่ควรนำเอา Hidden Tear ไปใช้เป็นมัลแวร์เรียกค่าไถ่ แต่ปรากฏว่า การค้นพบมัลแวร์ Ransom_CRYPTEAR.B และ โปเกม่อน โก นี้แสดงให้เห็นว่า ถึงแม้จะมีเจตนาที่ดี แต่การเปิดเผยข้อมูลสำคัญในลักษณะที่ไม่เหมาะสมอาจก่อให้เกิดปัญหาในบางสถานการณ์ดังเช่นที่กล่าวมาแล้ว

เพื่อหลีกเลี่ยงปัญหาจากมัลแวร์เรียกค่าไถ่ ผู้ใช้ควรแบ็คอัพข้อมูลอย่างสม่ำเสมอ และติดตั้งโซลูชั่นการรักษาความปลอดภัยที่ทันสมัย โซลูชั่นของเทรนด์ไมโครสามารถปกป้องผู้ใช้จากมัลแวร์เรียกค่าไถ่ โปเกม่อน โก ขณะที่เกมดังกล่าวได้รับการเปิดตัวในประเทศต่างๆ เพิ่มเติม ความคลั่งไคล้ในเกมโปเกม่อน โกจะดึงดูดให้อาชญากรไซเบอร์พยายามมองหาหนทางที่จะใช้ประโยชน์จากเกมดังกล่าวนี้ ที่จริงแล้วลำพังเพียงแค่ในช่วงเดือนกรกฎาคม มีการตรวจพบแอพโปเกม่อน โกจำนวนมากที่มีอันตราย ซึ่งหลอกล่อให้ผู้ใช้ดาวน์โหลดแอพเข้าสู่อุปกรณ์ สถานการณ์ดังกล่าวนับเป็นเครื่องเตือนภัยว่าผู้ใช้ควรระมัดระวังภัยคุกคามที่อาจมาพร้อมกับเกมยอดนิยม