Google Threat Intelligence ได้แจ้งเตือนมัลแวร์ขโมยคริปโตใหม่ชื่อ “Ghostblade” ซึ่งมุ่งเป้าไปที่อุปกรณ์ Apple iOS โดยอธิบายว่าเป็นส่วนหนึ่งของครอบครัว DarkSword ซึ่งเป็นเครื่องมือบนเบราว์เซอร์ Ghostblade ถูกออกแบบมาเพื่อดูดข้อมูลคีย์ส่วนตัวและข้อมูลสำคัญอื่น ๆ อย่างรวดเร็วและเป็นความลับในช่วงเวลาสั้น ๆ แทนที่จะเป็นการแฝงตัวอยู่บนอุปกรณ์อย่างต่อเนื่องและตลอดเวลา
เขียนด้วย JavaScript Ghostblade จะทำการเปิดใช้งาน เก็บข้อมูลจากอุปกรณ์ที่ถูกโจมตี และส่งข้อมูลไปยังเซิร์ฟเวอร์ที่เป็นอันตรายก่อนจะปิดตัวลง นักวิจัยชี้ให้เห็นว่าการออกแบบของมัลแวร์นี้ทำให้ตรวจจับได้ยากขึ้น เนื่องจากไม่ต้องการปลั๊กอินเพิ่มเติมและหยุดทำงานทันทีเมื่อเสร็จสิ้นการดึงข้อมูล ทีม Threat Intelligence ของ Google เน้นว่า Ghostblade ยังดำเนินการลบรายงานความผิดพลาด (crash reports) ซึ่งอาจแจ้งเตือนระบบ telemetry ของ Apple ได้
นอกจากคีย์ส่วนตัวแล้ว มัลแวร์ยังสามารถเข้าถึงและส่งข้อมูลจากแอปส่งข้อความอย่าง iMessage, Telegram และ WhatsApp ได้อีกด้วย นอกจากนี้ยังสามารถเก็บข้อมูลซิมการ์ด ข้อมูลระบุตัวตน ไฟล์มัลติมีเดีย พิกัดตำแหน่ง และเข้าถึงการตั้งค่าระบบต่าง ๆ ได้อีกด้วย โครงสร้าง DarkSword ซึ่ง Ghostblade เป็นส่วนหนึ่ง ถูกอ้างอิงโดย Google ว่าเป็นตัวอย่างของภัยคุกคามที่พัฒนาขึ้นอย่างต่อเนื่อง ซึ่งแสดงให้เห็นว่านักโจมตีปรับปรุงเครื่องมือของตนเพื่อเป้าหมายผู้ใช้คริปโตอย่างต่อเนื่อง
สำหรับผู้อ่านที่ติดตามแนวโน้มภัยคุกคาม Ghostblade อยู่ในกลุ่มเดียวกับส่วนประกอบอื่น ๆ ของชุดโจมตี DarkSword บน iOS ซึ่ง Google Threat Intelligence ระบุว่าเป็นตัวอย่างของภัยคุกคามที่พัฒนาขึ้นในบริบทของวิวัฒนาการของภัยคุกคามคริปโต รวมถึงรายงานเกี่ยวกับชุดโจมตีบน iOS ที่ใช้ในแคมเปญฟิชชิ่งคริปโต
สาระสำคัญ
Ghostblade เป็นภัยคุกคามขโมยคริปโตบน iOS ที่อิง JavaScript ซึ่งเป็นส่วนหนึ่งของระบบนิเวศ DarkSword และออกแบบมาเพื่อการส่งข้อมูลออกอย่างรวดเร็ว
มัลแวร์ทำงานในระยะเวลาสั้น ๆ และไม่ต่อเนื่อง ช่วยลดโอกาสการยึดครองอุปกรณ์ในระยะยาวและทำให้ตรวจจับได้ยากขึ้น
สามารถส่งข้อมูลสำคัญจาก iMessage, Telegram และ WhatsApp รวมถึงเข้าถึงข้อมูลซิม การระบุตัวตน ไฟล์มัลติมีเดีย พิกัด และการตั้งค่าระบบ พร้อมทั้งลบรายงานความผิดพลาดเพื่อหลบเลี่ยงการตรวจจับ
แนวโน้มนี้สะท้อนให้เห็นถึงการเปลี่ยนแปลงในแนวทางของภัยคุกคามที่เน้นการหลอกลวงทางสังคมและการดึงข้อมูลมากขึ้น ซึ่งไม่ใช่แค่การใช้ช่องโหว่ของซอฟต์แวร์เท่านั้น
ในเดือนกุมภาพันธ์ การสูญเสียจากการแฮ็กคริปโตลดลงอย่างมากเหลือเพียง 49 ล้านดอลลาร์ จาก 385 ล้านดอลลาร์ในเดือนมกราคม ซึ่งเป็นสัญญาณของการเปลี่ยนจากการโจมตีด้วยโค้ดไปสู่เทคนิคฟิชชิ่งและการทำลายกระเป๋าเงินมากขึ้น ตามรายงานของ Nominis
Ghostblade และระบบนิเวศ DarkSword: สิ่งที่ทราบ
นักวิจัยของ Google อธิบายว่า Ghostblade เป็นส่วนหนึ่งของครอบครัว DarkSword ซึ่งเป็นชุดเครื่องมือมัลแวร์บนเบราว์เซอร์ที่มุ่งเป้าไปที่ผู้ใช้คริปโตโดยการขโมยคีย์ส่วนตัวและข้อมูลที่เกี่ยวข้อง การใช้ JavaScript ช่วยให้ Ghostblade ทำงานได้อย่างรวดเร็วและเบา ขณะเดียวกันก็เป็นแบบชั่วคราว การออกแบบนี้สอดคล้องกับภัยคุกคามบนอุปกรณ์อื่น ๆ ที่เน้นการส่งข้อมูลออกอย่างรวดเร็วในช่วงเวลาสั้น ๆ
ในทางปฏิบัติ ความสามารถของมัลแวร์ไม่ได้จำกัดแค่การขโมยคีย์เท่านั้น การเข้าถึงแอปส่งข้อความเช่น iMessage, Telegram และ WhatsApp ช่วยให้นักโจมตีสามารถดักฟังสนทนา รับรองข้อมูล และแนบไฟล์สำคัญได้ การเข้าถึงข้อมูลซิมและพิกัดตำแหน่งขยายขอบเขตของการโจมตี ทำให้สามารถทำการโจรกรรมตัวตนและการฉ้อโกงได้อย่างครอบคลุม ที่สำคัญคือความสามารถในการลบรายงานความผิดพลาดช่วยปกปิดกิจกรรม ทำให้การวิเคราะห์หลังการโจมตีเป็นไปได้ยากทั้งสำหรับเหยื่อและผู้ป้องกัน
ในบริบทของการพัฒนาระบบป้องกันภัยบนอุปกรณ์ Ghostblade เน้นให้เห็นถึงการแข่งกันในด้านข่าวกรองภัยคุกคามบนอุปกรณ์ ซึ่ง Google Threat Intelligence มองว่า DarkSword เป็นตัวอย่างล่าสุดของการปรับปรุงกลยุทธ์โจมตีบน iOS ที่ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในอุปกรณ์และแอปพลิเคชันที่ใช้ในชีวิตประจำวัน
จากการโจมตีด้วยโค้ดไปสู่การใช้กลยุทธ์ที่เน้นมนุษย์
แนวโน้มของการโจมตีคริปโตในเดือนกุมภาพันธ์ 2026 แสดงให้เห็นถึงการเปลี่ยนแปลงในพฤติกรรมของผู้โจมตี ตามข้อมูลของ Nominis การสูญเสียจากการแฮ็กคริปโตในเดือนกุมภาพันธ์ลดลงเหลือ 49 ล้านดอลลาร์ จาก 385 ล้านดอลลาร์ในเดือนมกราคม สาเหตุหลักคือการเปลี่ยนจากการโจมตีด้วยโค้ดและช่องโหว่เป็นการใช้กลยุทธ์ที่เน้นความผิดพลาดของมนุษย์ เช่น การฟิชชิ่ง การทำลายกระเป๋าเงิน และกลยุทธ์ทางสังคมอื่น ๆ ที่ทำให้ผู้ใช้เปิดเผยคีย์หรือข้อมูลรับรองโดยไม่รู้ตัว
การฟิชชิ่งยังคงเป็นกลยุทธ์หลัก นักโจมตีสร้างเว็บไซต์ปลอมที่เลียนแบบเว็บไซต์จริง โดยใช้ URL ที่คล้ายกันเพื่อหลอกให้ผู้ใช้ป้อนคีย์ส่วนตัว คำสั่ง seed หรือรหัสผ่านกระเป๋าเงิน เมื่อผู้ใช้โต้ตอบกับอินเทอร์เฟซปลอมเหล่านี้—เช่น การเข้าสู่ระบบ การอนุมัติธุรกรรม หรือการวางข้อมูลสำคัญ—นักโจมตีจะเข้าถึงเงินและข้อมูลรับรองโดยตรง การเปลี่ยนไปสู่การโจมตีที่เน้นมนุษย์นี้ส่งผลต่อวิธีที่แพลตฟอร์มแลกเปลี่ยน กระเป๋าเงิน และผู้ใช้ต้องป้องกันตัวเอง โดยเน้นการให้ความรู้ผู้ใช้ควบคู่ไปกับมาตรการด้านเทคนิค
ข้อมูลเดือนกุมภาพันธ์สอดคล้องกับแนวโน้มในอุตสาหกรรมที่แม้ช่องโหว่ของซอฟต์แวร์และช่องโหว่ Zero-day ยังคงพัฒนา แต่ความเสี่ยงต่อคริปโตส่วนใหญ่มาจากการโจมตีทางสังคมที่ใช้พฤติกรรมมนุษย์ เช่น ความไว้วางใจ ความเร่งด่วน และการใช้อินเทอร์เฟซที่คุ้นเคย ซึ่งเป็นสิ่งที่นักวิเคราะห์ควรให้ความสนใจไม่ใช่แค่การแก้ไขช่องโหว่ของซอฟต์แวร์เท่านั้น แต่ยังต้องเสริมความแข็งแกร่งให้กับมนุษย์ในด้านความปลอดภัยด้วยการให้ความรู้ การยืนยันตัวตนที่เข้มงวดยิ่งขึ้น และประสบการณ์การใช้งานที่ปลอดภัยมากขึ้นสำหรับผู้ใช้กระเป๋าเงิน
แนวทางสำหรับผู้ใช้ กระเป๋าเงิน และนักพัฒนา
การปรากฏตัวของ Ghostblade และแนวโน้มการโจมตีที่เน้นมนุษย์เป็นหลัก ชี้ให้เห็นข้อควรระวังหลายประการสำหรับผู้ใช้และนักพัฒนาเป็นสำคัญ อย่างแรกคือ การดูแลรักษาอุปกรณ์ให้สะอาดอยู่เสมอ เช่น การอัปเดต iOS ให้เป็นเวอร์ชันล่าสุด การตั้งค่าความปลอดภัยของแอปและเบราว์เซอร์ รวมถึงการใช้ฮาร์ดแวร์วอลเล็ตหรือ enclaves ที่ปลอดภัยสำหรับคีย์ส่วนตัว จะช่วยเพิ่มระดับความปลอดภัยในการป้องกันการส่งข้อมูลออกอย่างรวดเร็ว
ประการที่สอง ผู้ใช้ควรระมัดระวังเป็นพิเศษกับแอปส่งข้อความและเว็บไซต์ การรวมข้อมูลบนอุปกรณ์กับกลยุทธ์ฟิชชิ่งหมายความว่าแม้แต่การโต้ตอบที่ดูเหมือนปลอดภัย เช่น การเปิดลิงก์ การอนุมัติสิทธิ์ หรือการวาง seed phrase ก็อาจกลายเป็นช่องทางให้ขโมยข้อมูลได้ การใช้การยืนยันตัวตนแบบหลายชั้น แอปยืนยันตัวตน และการป้องกันด้วยไบโอเมตริกซ์สามารถช่วยลดความเสี่ยงได้ แต่การให้ความรู้และความระมัดระวังต่อคำขอที่ไม่คาดคิดก็สำคัญไม่แพ้กัน
สำหรับนักพัฒนา การเน้นควบคุมการป้องกันฟิชชิ่ง การจัดการคีย์อย่างปลอดภัย และการแจ้งเตือนผู้ใช้เกี่ยวกับการดำเนินการที่อาจเป็นอันตราย เป็นสิ่งสำคัญ นอกจากนี้ การแบ่งปันข้อมูลภัยคุกคามอย่างต่อเนื่อง โดยเฉพาะภัยคุกคามบนอุปกรณ์ที่ผสมผสานเครื่องมือบนเบราว์เซอร์กับฟีเจอร์ของระบบปฏิบัติการมือถือ ก็เป็นสิ่งจำเป็น ความร่วมมือระหว่างอุตสาหกรรมยังคงเป็นกุญแจสำคัญในการตรวจจับและรับมือกับกลยุทธ์การโจมตีใหม่ ๆ ก่อนที่จะกลายเป็นภัยคุกคามในวงกว้าง
สิ่งที่ควรจับตาต่อไป
ในขณะที่ Google Threat Intelligence และนักวิจัยรายอื่น ๆ ยังคงติดตามกิจกรรมที่เกี่ยวข้องกับ DarkSword ควรเฝ้าระวังการอัปเดตเกี่ยวกับชุดโจมตีบน iOS และมัลแวร์ที่คล้ายกันซึ่งมีความลับและมีช่วงเวลาสั้น ๆ แนวโน้มที่เน้นความผิดพลาดของมนุษย์ในเดือนกุมภาพันธ์ชี้ให้เห็นว่านักป้องกันจะต้องเสริมความแข็งแกร่งทั้งด้านเทคนิคและการให้ความรู้แก่ผู้ใช้ เพื่อลดความเสี่ยงจากกลยุทธ์ฟิชชิ่งและการทำลายกระเป๋าเงิน สำหรับผู้อ่าน สิ่งสำคัญคือรอรับคำแนะนำด้านข่าวกรองภัยคุกคามอย่างเป็นทางการเกี่ยวกับภัยคุกคามคริปโตบน iOS การตรวจจับใหม่จากผู้ให้บริการด้านความปลอดภัย และการปรับตัวของแพลตฟอร์มหลักในการต่อต้านฟิชชิ่งและการป้องกันการฉ้อโกงในบริบทของกลยุทธ์ใหม่เหล่านี้
ในระหว่างนี้ การติดตามข้อมูลข่าวกรองภัยคุกคาม เช่น รายงานของ Google Threat Intelligence เกี่ยวกับ DarkSword และการวิเคราะห์ต่อเนื่องจาก Nominis และนักวิจัยด้านความปลอดภัยบล็อกเชนรายอื่น ๆ จะเป็นสิ่งสำคัญในการประเมินความเสี่ยงและปรับปรุงแนวทางป้องกันภัยคุกคามไซเบอร์ที่มุ่งเป้าไปที่คริปโต
