PDPC Eagle Eye เตือนภัยเกมเมอร์ ตรวจพบมัลแวร์ในเกม บน Steam

ต้องระวัง! “ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล PDPC Eagle Eye” แจ้งเตือนภัยเกมเมอร์ ตรวจพบมัลแวร์ในเกม Chemia บน Steam โดยเหตุการณ์ที่เกิดขึ้นกับเกม Chemia ไม่ใช่แค่การโจมตีธรรมดา แต่เป็นกรณีศึกษาที่น่าสนใจของกลยุทธ์ Social Engineering รูปแบบใหม่ ที่อาศัยความน่าเชื่อถือของแพลตฟอร์ม Steam เป็นหลัก 

โดยกลุ่มแฮ็กเกอร์ EncryptHub ได้ใช้ช่องโหว่ในกระบวนการตรวจสอบเกม Early Access เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล โดยมีขั้นตอนการโจมตีที่ซับซ้อนและเป็นลำดับขั้น

เหตุการณ์ที่เกิดขึ้นกับเกม Chemia ไม่ใช่แค่การโจมตีธรรมดา แต่เป็นกรณีศึกษาที่น่าสนใจของกลยุทธ์ Social Engineering รูปแบบใหม่ ที่อาศัยความน่าเชื่อถือของแพลตฟอร์ม Steam เป็นหลัก โดยกลุ่มแฮ็กเกอร์ EncryptHub ได้ใช้ช่องโหว่ในกระบวนการตรวจสอบเกม Early Access เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล โดยมีขั้นตอนการโจมตีที่ซับซ้อนและเป็นลำดับขั้น
 

การโจมตีครั้งนี้ไม่ใช่การฝังมัลแวร์แค่ตัวเดียว แต่เป็นการใช้มัลแวร์หลายตัวทำงานร่วมกันเป็นลูกโซ่ โดยเริ่มต้นจากไบนารีอันตรายที่ถูกแฝงอยู่ในไฟล์เกม ซึ่งเป็นไฟล์ที่ผู้เล่นดาวน์โหลดโดยตรงจาก Steam

การฝังตัวครั้งแรกด้วย HijackLoader ไฟล์ CVKRUTNP.exe เมื่อผู้เล่นกดปุ่ม Playtest ของเกม Chemia ไฟล์มัลแวร์ตัวนี้จะถูกเรียกใช้งานเป็นอันดับแรก HijackLoader เป็นมัลแวร์ประเภท Loader ซึ่งมีคุณสมบัติหลักในการฝังตัวเองอย่างถาวรในระบบของเหยื่อ และรอคำสั่งเพื่อดาวน์โหลดมัลแวร์ตัวอื่น ๆ เข้ามาในเครื่อง มันจะทำการสร้าง Task ที่ทำงานแบบ Background เพื่อให้มัลแวร์ทำงานได้ตลอดเวลาแม้ผู้ใช้จะปิดเครื่องหรือรีสตาร์ท ซึ่งเป็นกลไกที่ทำให้มัลแวร์ฝังตัวได้อย่างแนบเนียน

การดาวน์โหลดมัลแวร์ขโมยข้อมูลตัวแรก (Vidar) ไฟล์ v9d9d.exe หลังจาก HijackLoader ฝังตัวสำเร็จ มันจะทำการเชื่อมต่อไปยัง เซิร์ฟเวอร์ C2 (Command and Control) ซึ่งที่อยู่ของเซิร์ฟเวอร์นี้ถูกดึงมาจากช่องทางส่วนตัวบน Telegram ของกลุ่มแฮ็กเกอร์ เพื่อดาวน์โหลด Vidar Stealer เข้ามาในระบบ

ข้อมูลที่ถูกขโมย: Vidar เป็นมัลแวร์ประเภท Infostealer ที่มีความสามารถในการขโมยข้อมูลจากเว็บเบราว์เซอร์, Cryptocurrency Wallets, และโปรแกรมที่เกี่ยวข้องกับเกมต่างๆ

การดาวน์โหลดมัลแวร์ขโมยข้อมูลตัวที่สอง (Fickle Stealer) ไฟล์ cclib.dll (ไฟล์ DLL ที่ถูกดัดแปลง) หลังจากถูกติดตั้ง EncryptHub ได้เพิ่มมัลแวร์อีกตัวชื่อ Fickle Stealer เข้ามา โดยมัลแวร์ตัวนี้จะถูกซ่อนอยู่ในไฟล์ DLL และใช้ PowerShell (‘worker.ps1’) ในการดาวน์โหลด payload หลักจากเว็บไซต์ soft-gets[.]com

Fickle Stealer มีความสามารถสูงในการขโมยข้อมูลประเภท Credentials (Username/Password), Auto-fill Information, Cookies และ Cryptocurrency Wallet ที่ถูกเก็บไว้ในเว็บเบราว์เซอร์ต่างๆ

ทำไมวิธีนี้ถึงอันตรายและได้ผล

เป็นเพราะผู้ใช้งานส่วนใหญ่มีความเชื่อมั่นในแพลตฟอร์ม Steam ว่ามีการตรวจสอบความปลอดภัยที่เข้มงวด ทำให้ผู้เล่นดาวน์โหลดและติดตั้งเกมโดยไม่มีข้อสงสัย มี Social Engineering ที่แนบเนียน เทคนิคนี้แตกต่างจากการโจมตีแบบ Phishing หรือการหลอกลวงแบบดั้งเดิม เพราะแฮ็กเกอร์ไม่ได้หลอกให้ผู้ใช้คลิกไฟล์แปลกๆ แต่มัลแวร์ถูกฝังอยู่ในตัวเกมเลย ทำให้ผู้เล่นไม่รู้ตัวว่ากำลังติดตั้งซอฟต์แวร์ที่เป็นอันตรายมุ่งเป้าไปที่เกม Early Access

กรณีนี้เป็นครั้งที่สามของปีนี้ที่มัลแวร์แฝงตัวในเกม Early Access ซึ่งแสดงให้เห็นถึงช่องโหว่ในกระบวนการตรวจสอบของ Steam สำหรับเกมประเภทนี้ ที่อาจมีมาตรการคัดกรองที่หละหลวมกว่าเกมที่วางจำหน่ายอย่างเป็นทางการแล้ว 

ข้อแนะนำสำหรับสายเกมเมอร์

หลีกเลี่ยงการดาวน์โหลดเกม Chemia (ปัจจุบันโดนถอดออกจากหน้าร้านค้าของ Steam แล้ว) และเกมอื่น ๆ ที่ยังอยู่ในสถานะ Early Access หรือ Playtest จนกว่าจะมีการประกาศยืนยันความปลอดภัยอย่างเป็นทางการ นอกจากนี้ควรหมั่นตรวจสอบและอัปเดตซอฟต์แวร์ Antivirus อยู่เสมอ

เหตุการณ์นี้เน้นย้ำว่าแม้แต่แพลตฟอร์มที่ใหญ่และน่าเชื่อถืออย่าง Steam ก็ไม่ได้ปลอดภัย 100% เสมอไป การตระหนักรู้และระมัดระวังเป็นสิ่งสำคัญที่สุดในการปกป้องข้อมูลส่วนตัวของเราจากภัยคุกคามทางไซเบอร์ที่ซับซ้อนมากขึ้นในปัจจุบัน

อ้างอิง : ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล