โกงปราบโกง ! พบม็อดโกงเกม Minecraft ที่อาจไม่ช่วยให้โกงได้ แต่กลับติดมัลแวร์แทน

การโกงเกมนั้นมีหลายแง่มุม ถ้าโกงเฉพาะการเล่นแบบคนเดียวก็อาจจะเป็นการเพิ่มความสนุกสนาน แต่สำหรับการเล่นออนไลน์ หรือเล่นหลายคนนั้น การโกงเกมนั้นเป็นสิ่งไม่ดี และหลายเครื่องมือที่อ้างว่าช่วยโกงเกมได้นั้น คนโดนโกงอาจจะเป็นผู้ใช้งานแทน

จากรายงานโดยเว็บไซต์ The Register ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทขโมยข้อมูลจากระบบของเหยื่อ หรือ Inforstealer ที่แฝงตัวอยู่บนเครื่องมือโกงเกม (Cheat Tool) Minecraft อย่าง Oringo และ Taunahi ซึ่งการตรวจพบดังกล่าวนั้นเป็นฝีมือของทีมวิจัยจาก Check Point บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือป้องกันภัยไซเบอร์ โดยทางทีมวิจัยได้เปิดเผยว่า มีการตรวจพบเครื่องมือแฝงมัลแวร์ดังกล่าว ถูกเก็บไว้บนคลังติจิทัล (Repository หรือ Repo) มากกว่า 500 แห่งบนระบบของ Github ภายใต้บัญชีที่ดูแล Repo เหล่านี้มากกว่า 70 บัญชี อีกทั้งยังมีการตรวจพบว่ามีผู้ตกเป็นเหยื่อของการหลอกลวงดังกล่าวแล้วมากถึง 1,500 ราย ซึ่งมัลแวร์ตัวนี้มีประสิทธิภาพในการขโมยรหัสผ่านต่าง ๆ, ข้อมูลอ่อนไหว ไปถึงถึงข้อมูลบนกระเป๋าเงินคริปโตเคอร์เรนซี

โดยตัวมัลแวร์ที่แฝงในรูปแบบของเครื่องมือโกงเกมนั้น จะใช้วิธีการฝังลงเครื่องแบบหลายขั้นตอน (Multi-Stage Infection) ซึ่งตัวมัลแวร์จะถูกแบ่งเป็นหลายส่วน ทำหน้าที่แตกต่างกันในการฝังมัลแวร์ในแต่ละชั้น โดยสองส่วนแรกซึ่งเป็นหน้าฉากและทำหน้าที่เป็นมัลแวร์นกต่อ (Loader) นั้นจะถูกเขียนขึ้นด้วยภาษา Java และมีการกำหนดค่าไว้ว่าจะต้องทำการติดตั้ง Minecraft ไว้บนเครื่องก่อนถึงจะสามารถรันได้ โดยหลังจากที่มัลแวร์ได้ถูกทำการรันขึ้นมาพร้อมกับเกมนั้น ตัวมัลแวร์ตัวแรกจะเริ่มทำการรันเครื่องมือป้องกันการรันบนสภาวะจำลอง (Anti-VM) และเครื่องมือต่อต้านการถูกวิเคราะห์ (Anti-Analysis) เพื่อตรวจสอบว่าไม่ถูกรันอยู่ในสภาพดังกล่าว

หลังจากนั้นในขั้นตอนต่อมาตัวมัลแวร์จะทำการเก็บข้อมูล Token ที่เหยื่อใช้งานบัญชี Minecraft, Microsoft,  Discord และ Telegram หลังจากนั้นตัวมัลแวร์จะสั่งการดาวน์โหลดมัลแวร์ตัวที่ 2 (Payload) ลงมายังเครื่องของเหยื่อเพื่อทำการติดตั้ง โดยมัลแวร์ตัวนี้จะเป็นมัลแวร์ตัวจริงที่จะจัดการกับข้อมูลที่ถูกเก็บรวบรวมไว้เรียบร้อยแล้วกลับไปยังช่อง Discord ของแฮกเกอร์ผ่านทางระบบ Discord Webhook ซึ่งนอกจากข้อมูลที่ถูกมัลแวร์ตัวก่อนเก็บข้อมูลไว้แล้ว ตัวมัลแวร์ตัวจริงยังมีความสามารถในการขโมยข้อมูลที่อยู่บนเว็บเบราว์เซอร์หลากประเภท ทั้ง Firefox และ Chrome รวมไปถึงข้อมูลบนกระเป๋าเงินคริปโตเคอร์เรนซีหลากชนิด เช่น Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, และ Jaxx, ข้อมูลบนเครื่องมือ VPN (Virtual Private Network) เช่น ProtonVPN, OpenVPN, และ NordVPN รวมไปถึงข้อมูลบนแอปพลิเคชันอื่น ๆ อีกหลากชนิด เช่น Steam, Discord, FileZilla และ Telegram เป็นต้น