Antivirus_logo
      
ลูกค้าทั่วไป
ลูกค้าองค์กร
by สินค้าไอทีราคาถูก โดย Thaiware Shop

Bitdefender เตือนเกม Battlefield 6 เถื่อน มาพร้อมของแถมมัลแวร์ขโมยคริปโต

เมื่อ : 23 ธันวาคม 2568
ผู้เข้าชม : 362
เขียนโดย :
image_big
image_big
เมื่อ : 23 ธันวาคม 2568
ผู้เข้าชม : 362
เขียนโดย :

ขึ้นชื่อว่าวิดีโอเกมเถื่อน หรือโปรแกรมสำหรับโกงเกม (Trainer) นั้น ย่อมมีความเป็นไปได้สูงว่าอาจจะมีของแถม หรืออาจจะเป็นการสมอ้างของโปรแกรมที่เป็นอันตรายอย่างมัลแวร์หลากชนิด ดังเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของผู้พัฒนาแอนตี้ไวรัส Bitdefender ได้กล่าวถึงการตรวจพบถึงการแอบอ้างชื่อวิดีโอเกม Battlefield 6 ซึ่งเป็นภาคล่าสุดของซีรีส์ Battlefield วิดีโอเกมแนวยิงแบบบุคคลที่ 1 (FPS หรือ First Person Shooting) ยอดนิยมจากค่าย EA (Electronic Arts) โดยในการแอบอ้างนี้มีรูปแบบที่แตกต่างกันออกไป ถึง 3 รูปแบบ ดังนี้

โปรแกรมโกงเกม (Trainer) ปลอมของ Battlefield 6

โปรแกรมโกงเกมปลอมนี้จะมาจากเว็บไซต์ปลอมที่มีชื่อว่า (https[:]//flingtrainer[.]io/)  และอาจมาจากเว็บไซต์อื่น ๆ ที่แฮกเกอร์วางยาไว้ก็ได้ ซึ่งเว็บไซต์เหล่านี้จะปรากฏออกมาเมื่อมีการค้นหาคำว่า "Battlefield 6 trainers" บน Google ซึ่งไฟล์ดังกล่าวนั้นจะมีการแฝงมัลแวร์ที่ไม่ระบุชื่อ โดยทางแหล่งข่าวระบุเพียงแค่ว่าเป็นมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มีขนาดเล็ก ไม่ซับซ้อน ไม่มีการใช้งานโค้ดเพื่อก่อกวนระบบตรวจจับ (Obfuscation) แต่มีความสามารถในการขโมยข้อมูลที่หลากหลาย โดยมัลแวร์ดังกล่าวนั้นมีความสามารถในการขโมยข้อมูลดังนี้

  • ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซีในรูปแบบส่วนเสริมบนเว็บเบราว์เซอร์ Chrome อย่าง iWallet และ Yoroi
  • Session การใช้งาน Cookie และกระเป๋าเงินคริปโตเคอร์เรนซี บนเว็บเบราว์เซอร์ Chrome, Edge, Firefox, Opera, Brave, Vivaldi, และ WaveBrowser
  • Token การใช้งาน และรหัสผ่านในการใช้งานแอปพลิเคชันแชท Discord

ซึ่งข้อมูลที่ถูกขโมยมาได้ทั้งหมดนั้นจะถูกส่งไปยังหมายเลขไอพี 198[.]251[.]84[.]9 ด้วยผ่านทางโปรโตคอล HTTP ด้วยข้อความแบบไม่มีการเข้ารหัส (Plaintext)

ไฟล์วิดีโอเกม Battlefield 6 เวอร์ชันแคร็ก ‘Battlefield 6.GOG-InsaneRamZes’ 

สำหรับไฟล์นี้ก็มีการแฝงมัลแวร์มาเช่นเดียวกัน โดยเป็นไฟล์วิดีโอเกมแบบแคร็กที่ถูกปล่อยให้ดาวน์โหลดบนเครือข่ายแชร์ไฟล์ Torrent ที่ถึงแม้จะไม่มีการระบุประเภทชัดเจน แต่ก็มีการคาดหมายว่าจะเป็นมัลแวร์ประเภทลักลอบขโมยข้อมูลเช่นเดียวกัน โดยคาดว่าตัวมัลแวร์จะทำหน้าที่ในการขโมยรหัสผ่านจากเว็บเบราว์เซอร์และแอปพลิเคชันแชทอย่าง Discord นอกจากนั้นตัวมัลแวร์ยังมีความสามารถที่น่าสนใจหลายอย่าง เช่น

  • ความสามารถในการเลือกถิ่นที่จะโจมตี โดยจะไม่โจมตีเครื่องที่อยู่ในเขตของประเทศรัสเซีย หรือ ประเทศอดีตสหภาพโซเวียต ที่มีรหัสท้องถิ่นบนระบบอย่าง RU, AM, AZ, BY, KZ, KG, LT, และ UZ เพื่อป้องกันการถูกตามล่าตัว ทำให้คาดว่ามัลแวร์ตัวนี้จะมาจากรัสเซีย
  • ความสามารถในการตรวจหา (Hash) กุญแจ API (API Key) ของ Windows จากไฟล์ DLL ของระบบ อย่างเช่น GetSystemDefaultLCID, GetLocaleInfoW, และ GetUserGeoID เพื่อเก็บไว้ใช้งานในภายหลัง
  • การป้องกันการทำงานบนสภาวะจำลอง (Anti-Sandbox) ด้วยการใช้ฟังก์ชันทดสอบ อย่าง GetTickCount() ด้วยการตรวจสอบว่าตัวเครื่องกำลังทำงานอยู่บนระบบ Sandbox หรือไม่ จากการตรวจสอบเวลาทำงาน (Uptime) ของตัวเครื่อง

นอกจากนั้นยังพบว่าในส่วนของข้อมูลของหน่วยความจำ (Memory String) มีการระบุถึงเครื่องมือของนักพัฒนาซอฟต์แวร์ อย่าง CockroachDB, Postman, BitBucket, และ FastAPI ทำให้คาดหมายว่า ตัวมัลแวร์อาจเพ่งเล็งที่จะขโมย API Key หรือ รหัสผ่านที่อยู่ภายในฐานข้อมูล (Database) ที่ซอฟต์แวร์เหล่านี้ทำงานหรือดูแลอยู่ก็เป็นได้

ไฟล์วิดีโอเกม Battlefield 6 เวอร์ชันแคร็ก Battlefield 6 V4.8.8 DLCs - Bonuses -RUNE

สำหรับตัวนี้จะเป็นไฟล์ที่แฝงเครื่องมือ C2 Agent สำหรับการสร้างความคงอยู่ของมัลแวร์บนเครื่องของเหยื่อ เพื่อรับประกันว่าตัวมัลแวร์จะสามารถติดต่อกับเซิร์ฟเวอร์ควบคุม หรือ C2 (Command and Control) ได้ตลอดมา ด้วยการแอบอ้างเป็นไฟล์จำลองแผ่น (Disc Image) สำหรับติดตั้งตัวเกมที่มาพร้อมกับคอนเทนต์ดาวน์โหลดเพิ่มเติม (Downloadable Content หรือ DLC) ในรูปแบบไฟล์ ISO

ซึ่งภายในตัวไฟล์นั้นจะมีการซ่อนไฟล์สำหรับรันในรูปแบบ MZ Executable ขนาด 25 MB ที่ภายในตัวไฟล์นั้นมี Object แบบ ZLIB ที่ถูกบีบอัดอยู่  ซึ่งหลังจากรันไฟล์ดังกล่าวแล้วก็จะนำไปสู่ขั้นตอนดังนี้

  1. คล้ายไฟล์ ZLIB ออกมา
  2. ตัวระบบจะทำการเขียนไฟล์ 2GreenYellow.dat ลงไปยังโฟลเดอร์ของผู้ใช้งาน (User’s Directory)
  3. หลังจากนั้นตัวมัลแวร์จะทำการรันไฟล์ดังกล่าวอย่างเงียบเชียบผ่านทาง regsvr32.exe /s /i "C:Users2GreenYellow.dat
  4. ตัวปักธง (Flag) /i ที่อยู่บน Path การรันในขั้นตอนก่อน จะนำไปสู่การใช้งานฟังก์ชัน Export ของ DllInstall ที่จะนำไปสู่การคลายไฟล์ DLL ดังนี้
    1. DllRegisterServer
    2. DllInstall
    3. DllUnRegisterServer
  5. หลังจากนั้นตัว DLL จะทำการติดต่อกับ ei-in-f101[.]1e100[.]net ซึ่งอาจเป็นเซิร์ฟเวอร์ C2 หรือเป็นตัวกลางในการติดต่อ (Relay) ก็ได้ โดยโดเมนดังกล่าวนั้นอยู่ภายใต้การให้บริการของ Google
  6. ถ้าติดต่อสำเร็จ เซิร์ฟเวอร์ C2 ก็จะสามารถรันเพื่อติดตั้งไฟล์มัลแวร์ลงมาบนเครื่องของเหยื่อ หรือ แอบขโมยไฟล์ (Exfiltration) จากเครื่องของเหยื่อได้ 
ต้นฉบับ :
ที่มา :
logo_tk
นักวิจัยค้นพบวิธีการหลอก AI Browser ด้วยวิธีการ HashJack เพียงแค่ใช้ "#"
logo_tk
OpenAI ยอมรับแล้ว ! ข้อมูลรั่วไหลจริง แต่บอกว่าไม่ใช่ความผิดของ ChatGPT
logo_tk
Malwarebytes เตือนให้ระวังประกาศสมัครงานบน Linkedin เสี่ยงมัลแวร์ Flexible Ferret
ตั้งค่าความเป็นส่วนตัว นโยบายความเป็นส่วนตัว นโยบายคุกกี้
Copyright Notice : All Rights Reserved. Copyright 1999-2025
Antivirus.in.th is owned and operated by Thaiware Communication Co., Ltd.