แฮกเกอร์ปล่อยเกมและ VPN ปลอมทาง Mediafire และ Discord ดาวน์โหลดแล้วอาจติดมัลแวร์ Stealit ได้

แฮกเกอร์ปล่อยเกมและ VPN ปลอมทาง Mediafire และ Discord ดาวน์โหลดแล้วอาจติดมัลแวร์ Stealit ได้

เมื่อ : 29 ตุลาคม 2568

เว็บไซต์ FortiGuard Labs – หน่วยงานวิจัยของ Fortinet – พบแคมเปญมัลแวร์รุ่นใหม่ชื่อ Stealit ซึ่งอาศัยการปลอมเป็นเกมหรือแอป VPN แจกฟรีแล้วแพร่ผ่านเว็บไซต์ฝากไฟล์อย่าง MediaFire และแพลตฟอร์มการสื่อสารอย่าง Discord เพื่อหลอกให้ผู้ใช้งานดาวน์โหลด :contentReference[oaicite:5]{index=5}

จุดเด่นของมัลแวร์ Stealit คือการเป็น “ลูกผสม” ระหว่าง RAT (Remote Access Trojan) และ Ransomware (เรียกค่าไถ่) รองรับทั้งระบบ Windows และ Android โดยสถิติพบว่าใช้ไฟล์ติดตั้งปลอมที่ถูกบันเดิลผ่านฟีเจอร์ Node.js Single Executable Application (SEA) และ/หรือ Electron เพื่อให้ไฟล์สามารถรันได้โดยไม่ต้องมี Node.js ติดตั้งอยู่ก่อนหน้า :contentReference[oaicite:8]{index=8}

กระบวนการติดตั้งของ Stealit เริ่มด้วยไฟล์ติดตั้งปลอม ซึ่งเมื่อติดตั้งแล้วจะรันตัว SEA หรือ Electron ที่ฝังสคริปต์ JavaScript หลายชั้น (in-memory) ซึ่งผ่านการ obfuscation และมีการตรวจสอบสภาพแวดล้อม (VM, sandbox, debugger) อย่างเข้มงวด :contentReference[oaicite:9]{index=9} หลังจากนั้นจะสร้างกุญแจยืนยันตัวตนขนาด 12 ตัวอักษร และบันทึกไว้ใน %temp%\cache.json จากนั้นดาวน์โหลดคอนโพเนนต์หลักจากเซิร์ฟเวอร์ C2 ที่เปลี่ยนชื่อโดเมนเป็น iloveanimals[.]shop :contentReference[oaicite:10]{index=10}

คอมโพเนนต์หลักที่ถูกดาวน์โหลด ได้แก่

• save_data.exe – ใช้ ChromElevator เพื่อขโมยข้อมูลจากเว็บ เบราว์เซอร์ Chromium ต่าง ๆ
• stats_db.exe – เก็บรวบรวมข้อมูลจากเบราว์เซอร์และแอปพลิเคชันอื่น ๆ
• game_cache.exe – หรือ C2 client ทำหน้าที่สื่อสารกับเซิร์ฟเวอร์ควบคุม และทำหน้าที่สั่งคำสั่งจากฝ่ายแฮกเกอร์ :contentReference[oaicite:12]{index=12}

ฟีเจอร์ที่แอบอวดไว้บนเว็บไซต์ขายตัว Stealit เป็นบริการ Malware-as-a-Service (MaaS) ได้แก่

• Live Screen View – ดูหน้าจอเหยื่อแบบเรียลไทม์
• Live Webcam Access – เข้ากล้องเว็บแคมของเหยื่อ
• System Management – สั่งชัตดาวน์ รีสตาร์ต ควบคุมพฤติกรรมเครื่อง
• Ransom Chat Panel – แชทข่มขู่เหยื่อ
• Fake Alert Message – แจ้งเตือนปลอมเพื่อหลอกเหยื่อ
• CMD Executor – ยิงคำสั่งไปยังเครื่องของเหยื่อ
• Remote Audio Player – เล่นเสียง/เพลงบนเครื่องเหยื่อ
• EXE Installer + Startup Binder – ติดตั้งซอฟต์แวร์/มัลแวร์และสั่งให้รันทุกครั้งที่เปิดเครื่อง
• File Grabber – เอาไฟล์จาก Desktop, Documents, Downloads ฯลฯ
• Wallpaper Changer – เปลี่ยนภาพพื้นหลัง (Wallpaper) เครื่องเหยื่อ :contentReference[oaicite:13]{index=13}

สำหรับราคาการสมัครใช้งาน (lifetime) พบว่าเวอร์ชัน Windows อยู่ที่ประมาณ USD 500 (~ 16,300 บาท) และ Android USD 2,000 (~ 65,000 บาท) :contentReference[oaicite:14]{index=14}

**ข้อแนะนำสำหรับผู้ใช้ทั่วไปและองค์กร**

• อย่าดาวน์โหลดเกม, VPN, หรือซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ เช่น MediaFire, Discord หรือไฟล์ RAR/ZIP ที่ส่งต่อโดยผู้ใช้ทั่วไป
• ใช้สิทธิ “ผู้ใช้ทั่วไป” (non-administrator) ในการใช้งานเครื่อง เพื่อจำกัดสิทธิการติดตั้งโปรแกรมโดยไม่ได้ตั้งใจ
• เปิดใช้งาน Endpoint Detection & Response (EDR) หรือ NGAV ที่สามารถตรวจจับ behaviour ของมัลแวร์แบบ in-memory และ obfuscated code
• อัปเดต Windows, เบราว์เซอร์, และโปรแกรม ให้เป็นเวอร์ชันล่าสุด รวมถึงเปิดการสแกน real-time ของ Windows Defender หรือ AV อื่น ๆ
• ตรวจสอบโฟลเดอร์ Startup และ Scheduled Tasks ว่าไม่มีไฟล์ VBS, EXE หรือ สคริปต์ที่ไม่รู้จัก เช่น startup.vbs ที่อาจถูก bind โดย malware