หน้าแรก Security Malware ระวัง! Microsoft Phone Link กลายเป็นช่องโหว่ มัลแวร์ใหม่ “CloudZ” ดักขโมย OTP จากมือถือผ่าน PC

ระวัง! Microsoft Phone Link กลายเป็นช่องโหว่ มัลแวร์ใหม่ “CloudZ” ดักขโมย OTP จากมือถือผ่าน PC

ทีมนักวิจัยจาก Cisco Talos ได้ออกมาเปิดเผยถึงภัยเงียบรูปแบบใหม่ที่พุ่งเป้าไปที่ Microsoft Phone Link แอปพลิเคชันพื้นฐานที่ติดตั้งมาพร้อมกับ Windows 10 และ 11 ซึ่งหลายคนอาจมองข้าม แอปนี้ถูกออกแบบมาเพื่ออำนวยความสะดวกในการเชื่อมต่อสมาร์ทโฟนเข้ากับคอมพิวเตอร์ผ่าน Bluetooth และ Wi-Fi ทำให้ผู้ใช้สามารถรับสาย ตอบข้อความ หรือดูรูปถ่ายจากมือถือได้โดยตรงบนหน้าจอ PC แต่ความสะดวกสบายนี้กำลังกลายเป็นช่องโหว่สำคัญ เมื่อมัลแวร์ตัวร้ายสามารถดักรอขโมยข้อมูลของคุณได้ทันทีที่แอปเริ่มทำงาน

พระเอกสายดาร์กในเหตุการณ์นี้คือมัลแวร์ที่ชื่อว่า CloudZ ซึ่งเป็น Remote Access Trojan (RAT) ที่มีความซับซ้อนสูง มันถูกเขียนขึ้นด้วย .NET และติดตั้งเกราะป้องกันตัวเองจากการตรวจจับอย่างแน่นหนา ไม่ว่าจะเป็นการพรางรหัส (Obfuscation) หรือการตรวจสอบว่ากำลังถูกนักวิเคราะห์ระบบสแกนอยู่หรือไม่ เมื่อ CloudZ ฝังตัวลงในเครื่องได้สำเร็จ มันจะรันคำสั่งผ่าน PowerShell เพื่อเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุม (C2) ของแฮกเกอร์ พร้อมสำหรับการโจรกรรมข้อมูลทุกรูปแบบที่ขวางหน้า

หัวใจสำคัญของการโจมตีอยู่ที่ปลั๊กอินใหม่ที่ชื่อว่า “Pheno” ซึ่งทำหน้าที่เหมือนสายลับคอยเฝ้าสังเกตการณ์ว่าผู้ใช้มีการเปิดใช้งาน Phone Link เมื่อใด ทันทีที่การเชื่อมต่อระหว่างมือถือและคอมพิวเตอร์เริ่มต้นขึ้น Pheno จะส่งสัญญาณให้ CloudZ เข้าไปแทรกแซงและดักจับไฟล์ฐานข้อมูล SQLite ของตัวแอป ข้อมูลส่วนตัวที่กำลังรับส่งกันอยู่ ไม่ว่าจะเป็นข้อความ SMS รหัสผ่าน หรือแม้แต่รหัสผ่านใช้ครั้งเดียว (OTP) ที่เรามักใช้ในการทำธุรกรรมออนไลน์ ก็จะถูกขโมยออกไปอย่างง่ายดายก่อนที่จะถึงมือเราเสียด้วยซ้ำ

สิ่งที่น่ากังวลที่สุดคือ CloudZ ไม่ได้ใช้วิธีเจาะช่องโหว่ของซอฟต์แวร์แบบเดิมๆ แต่ใช้วิธี “บิดเบือนการทำงานปกติ” ของฟังก์ชันใน Windows เพื่อจุดประสงค์ที่เลวร้าย ซึ่งเป็นเทคนิคที่ตรวจจับได้ยากมาก การวิจัยครั้งนี้เป็นเครื่องเตือนใจชั้นดีว่า แม้มือถือของคุณจะปลอดภัยและไม่มีมัลแวร์เลยแม้แต่นิดเดียว แต่หากคอมพิวเตอร์ที่คุณนำไปเชื่อมต่อด้วยติดเชื้อ ข้อมูลในมือถือก็ไม่ปลอดภัยอีกต่อไป

ในยุคที่การทำงานข้ามอุปกรณ์เป็นเรื่องปกติ การโจมตีแบบ Cross-device Syncing เช่นนี้ แสดงให้เห็นว่าอาชญากรไซเบอร์สามารถข้ามผ่านระบบความปลอดภัยที่ทันสมัยอย่าง 2FA หรือการยืนยันตัวตนสองชั้นได้เพียงแค่ดักรออยู่ที่ “สะพานเชื่อม” ระหว่างอุปกรณ์ ดังนั้นเพียงเพราะคุณเป็นเจ้าของทั้งมือถือและคอมพิวเตอร์ ไม่ได้หมายความว่าอุปกรณ์ทั้งสองจะไว้ใจกันได้เสมอไป การหมั่นตรวจสอบความปลอดภัยของ PC และระมัดระวังการเชื่อมต่อจึงเป็นสิ่งที่ไม่ควรละเลยอย่างยิ่ง

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน

เจาะลึก “GlassWorm” ระลอกที่ 4 มัลแวร์ล่องหนตัวร้ายที่มุ่งเป้านักพัฒนา macOS และกระเป๋าเงินคริปโต

มัลแวร์ “Maverick” ระบาดผ่าน WhatsApp! แอบยึดเบราว์เซอร์เหยื่อ โจมตีธนาคารใหญ่ทั่วบราซิล

ช่องโหว่ใหม่ของ Supermicro BMC สามารถสร้างแบ็คดอร์ที่ซ่อนตัวอย่างถาวรได้

Co-op ระบุว่าสูญเสียเงิน 107 ล้านดอลลาร์ หลังถูกโจมตีโดยแก๊ง Scattered Spider

แพ็กเกจ npm ปลอมของ Postmark ‘แอบขโมย’ อีเมลผู้ใช้งานอย่างเงียบๆ

ตำรวจยึดเงิน 439 ล้านดอลลาร์ ที่ถูกแก๊งอาชญากรรมไซเบอร์ขโมยไปจากทั่วโลก

Google เผย มัลแวร์ Brickstorm ถูกใช้ขโมยข้อมูลขององค์กรในสหรัฐฯ มานานกว่าหนึ่งปี

การแจ้งเตือนของ GitHub ถูกนำไปใช้หลอกลวงโดยอ้างเป็น Y Combinator เพื่อขโมยเงินคริปโต

Libraesva ESG ออกแพทช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ที่ถูกแฮกเกอร์โจมตี