Bitcoin Addict - ข่าวสารและบทความคริปโต

Microsoft เตือนภัยมัลแวร์สายพันธุ์โหด 'Crypto Clipper' ระบาดผ่านแฟลชไดรฟ์ ดูด Seed Phrase
19 June 2026ข่าวคริปโตโดย Rawiwarn Owattasanee
#Wallet#Hack#Scam

Microsoft เตือนภัยมัลแวร์สายพันธุ์โหด 'Crypto Clipper' ระบาดผ่านแฟลชไดรฟ์ ดูด Seed Phrase

ทีม Microsoft Threat Intelligence (หน่วยข่าวกรองด้านภัยคุกคามไซเบอร์ของ Microsoft) ออกประกาศเตือนผู้ใช้ Windows เมื่อวันที่ 17 มิถุนายน พ.ศ. 2569 เกี่ยวกับมัลแวร์ประเภท Crypto Clipper ตัวใหม่ที่มีชื่อว่า CryptoBandits ซึ่งแพร่กระจายผ่าน USB drive โดยระบาดมาตั้งแต่เดือนกุมภาพันธ์ พ.ศ. 2569 มัลแวร์ตัวนี้ขโมย Seed Phrase และ Private Key จาก Clipboard พร้อมแอบสับเปลี่ยน Address กระเป๋าเงินคริปโต และยังซ่อนตัวผ่านเครือข่าย Tor เพื่อหลบเลี่ยงการตรวจจับ

 

🦠 CryptoBandits คืออะไร — มากกว่าแค่ Clipboard Thief

 

CryptoBandits ถูกจัดประเภทโดย Microsoft Defender Antivirus ว่าเป็น Trojan:Win32/CryptoBandits.A ซึ่งทำให้มัลแวร์ตัวนี้พิเศษกว่า Crypto Clipper ทั่วไป คือมันไม่ได้แค่ขโมยข้อมูล Clipboard — มันทำงานเป็น Backdoor (ประตูหลัง) ด้วย

 

Microsoft Threat Intelligence และทีม Microsoft Defender Experts ระบุว่า Clipper มัลแวร์ตัวนี้ใช้ Windows Script Host และ ActiveX-driven logic เพื่อเปิดใช้งาน Tor proxy ในตัว และเชื่อมต่อกับเซิร์ฟเวอร์ C2 (Command & Control หรือศูนย์สั่งการของแฮกเกอร์) ที่ซ่อนอยู่บน Hidden Service ของ Tor โดยดำเนินการขโมยข้อมูล Clipboard ความถี่สูง, ส่งออก Screenshot และสับเปลี่ยน Address กระเป๋าเงิน

 

พูดง่ายๆ ก็คือ ผู้โจมตีไม่เพียงแต่จะขโมยคริปโตจากการทำธุรกรรมครั้งนั้นๆ เท่านั้น — แต่ยังสามารถควบคุมเครื่องและส่ง Code มาให้รันเมื่อไหร่ก็ได้ที่ต้องการ ซึ่งเปิดช่องให้โจมตีด้วย Ransomware ได้ในภายหลัง

 

💾 วิธีแพร่กระจาย — USB ที่ดูเหมือนไฟล์ปกติ

 

การโจมตีเริ่มต้นจากไฟล์ Windows Shortcut (.lnk) มอก บน USB storage ที่มีมัลแวร์ฝังอยู่ เมื่อผู้ใช้ดับเบิลคลิกไฟล์ดังกล่าว ระบบจะเปิดใช้งาน Worm Component ซึ่งจะสแกนหาไฟล์เอกสารประเภท .doc, .xlsx และ .pdf บน USB แล้วซ่อนไฟล์เหล่านั้นไว้ และสร้างไฟล์ .lnk ปลอมที่ใช้ชื่อและไอคอนเหมือนไฟล์จริงทุกประการ

 

เมื่อผู้ใช้หยิบ USB ไปเสียบกับเครื่องอื่น วงจรการแพร่กระจายก็จะวนซ้ำโดยอัตโนมัติ — ไม่ต้องพึ่งการติดตั้งซอฟต์แวร์ ไม่ต้องมี IP โจ่งแจ้งให้ตรวจจับ

 

มัลแวร์ประกอบด้วย 2 ส่วนหลัก:

 

  • Worm Component — รับผิดชอบการแพร่กระจายไปยัง USB อื่นๆ และตั้ง Scheduled Task (งานที่วางกำหนดการให้รันอัตโนมัติ) เพื่อให้ตัวเองกลับมาทำงานซ้ำหลัง Reboot เครื่อง
  • Clipper/Stealer Component — ทำงานเก็บข้อมูลจาก Clipboard และส่งออก Screenshot ผ่าน Tor ไปยังแฮกเกอร์

 

🧅 เครือข่าย Tor — ป้อมปราการที่ซ่อนตัวไว้

 

จุดที่ทำให้ CryptoBandits ตรวจจับได้ยากเป็นพิเศษคือการใช้ Tor ซ่อนระบบสื่อสาร โดย มัลแวร์ติดตั้ง Tor ลงในเครื่องของเหยื่อ แต่เปลี่ยนชื่อไฟล์เป็น ugate.exe เพื่อปลอมตัวให้ดูเหมือนโปรแกรมธรรมดา จากนั้นใช้ Tor เชื่อมต่อกับเซิร์ฟเวอร์ C2 ของแฮกเกอร์ผ่าน Hidden Onion Address 

 

สิ่งนี้หมายความว่าไม่มี IP โจ่งแจ้งให้ทีม IT บล็อก ไม่มี Domain ต้องสงสัย และเนื่องจากเครือข่ายองค์กรบางแห่งอนุญาตให้ใช้ Tor ได้ ทราฟฟิกของมัลแวร์จึงกลมกลืนกับการใช้งานปกติได้

 

🎯 สิ่งที่มัลแวร์มุ่งเป้าขโมย

 

CryptoBandits โฟกัสไปที่ข้อมูลทางการเงินที่มีมูลค่าสูงโดยเฉพาะ ได้แก่:

 

  • BIP39 Mnemonic Seed Phrase (วลีกู้คืน 12-24 คำที่ใช้กู้ Private Key กระเป๋าเงิน)
  • Ethereum Private Key (รหัสส่วนตัวของกระเป๋า Ethereum)
  • Bitcoin WIF Private Key (รหัสส่วนตัวของกระเป๋า Bitcoin ในรูปแบบ Wallet Import Format)

 

นอกจากนี้ยังแอบสลับ Wallet Address ที่ผู้ใช้ Copy ไว้เป็นของแฮกเกอร์แทน ครอบคลุมสกุลเงิน Bitcoin, Tron และ Monero และยังจับภาพหน้าจอทุก 10 วินาที เพื่อให้ผู้โจมตีได้บริบทเพิ่มเติมจากเครื่องของเหยื่อ

 

🛡️ วิธีป้องกันตัวเอง — คำแนะนำจาก Microsoft

 

Microsoft ออกคำแนะนำดังนี้:

 

  1. ปิด AutoPlay บน Removable Media (ไม่ให้ USB รันโปรแกรมอัตโนมัติ)
  2. บล็อกการเปิดไฟล์ .lnk จาก USB โดยเฉพาะในสภาพแวดล้อมองค์กร
  3. ติดตามกิจกรรม Proxy ที่ผิดปกติ และ Script ที่ถูก Spawn ขึ้นมาโดยไม่ทราบสาเหตุ
  4. อัปเดต Microsoft Defender ให้เป็นปัจจุบัน ซึ่งสามารถตรวจจับมัลแวร์นี้ในชื่อ Trojan:Win32/CryptoBandits.A

 

สำหรับผู้ถือครอง Cryptocurrency ทั่วไป ควรตรวจสอบ Wallet Address หลัง Paste ทุกครั้ง โดยไม่มีข้อยกเว้น เพราะการโอน Crypto ที่ Address ผิดนั้นไม่มีทางเรียกคืนได้

 

📈 สัญญาณอันตรายที่ขยายตัวในปี พ.ศ. 2569

 

CryptoBandits ไม่ได้โดดเดี่ยว — ปี 2569 เริ่มต้นด้วยการระบาดของ Windows-based Crypto Stealer อย่างต่อเนื่อง ก่อนหน้านี้ ทีม Foresiet Threat Intel ได้เปิดเผยมัลแวร์ชื่อ Lucid Stealer ซึ่งผสมรวมความสามารถขโมยข้อมูลเข้ากับ Remote Access แบบซ่อนตัว (HVNC — Hidden Virtual Network Computing) ทำให้ผู้โจมตีสามารถเข้าควบคุมหน้าจอเครื่องเหยื่อได้โดยไม่เปิดหน้าต่างใดๆ ให้เห็น

 

ทั้งสองตัวชี้ให้เห็นถึงแนวโน้มที่ชัดเจน คือ Malware สมัยใหม่ไม่ได้แค่ขโมยข้อมูลครั้งเดียวแล้วหนีไป แต่มุ่งฝังตัวในระบบเพื่อสร้าง "ทางเข้าถาวร" สำหรับการโจมตีที่ซับซ้อนกว่าในอนาคต

 

📎 ข่าวที่เกี่ยวข้องจาก Bitcoinaddict.com: เหตุการณ์นี้สืบเนื่องจากที่เราเคยรายงานและให้ความรู้ไว้ก่อนหน้านี้:
👉 วิธีโอน Bitcoin และ Cryptocurrency อย่างถูกต้อง ไม่ให้เงินหาย — รวมคำอธิบาย Clipboard Malware และวิธีป้องกัน
👉 วิธีใช้ Exchange อย่างปลอดภัย ไม่โดน Hack ที่นักลงทุนต้องรู้ — ครอบคลุมภัยคุกคามจาก Malware ที่ซ่อนตัวบน Clipboard
🔗 อ้างอิงต้นฉบับ: The Block / Microsoft Security Blog (17 มิถุนายน พ.ศ. 2569) / cointelegraph.com / ภาพ cyberinsider.com

 

💬 ความเห็นบรรณาธิการ Bitcoinaddict CryptoBandits เป็นตัวอย่างที่คลาสสิกของวิวัฒนาการภัยคุกคามในโลกคริปโต — จาก "มัลแวร์ธรรมดา" ที่ขโมยทีละครั้ง กลายเป็น "Backdoor" ที่สร้างช่องทางเข้าถาวรซึ่งอาจนำไปสู่การโจมตีที่ร้ายแรงกว่า เช่น Ransomware ได้ในอนาคต สิ่งที่น่าจับตาคือ การที่มัลแวร์ไม่ต้องพึ่ง IP โจ่งแจ้งหรือ Installer ทั่วไป แต่ฝังตัวในไฟล์ Shortcut ที่ดูบริสุทธิ์บน USB นั้นเป็นวิธีที่แนบเนียนและตรวจจับได้ยากอย่างยิ่ง สำหรับผู้ใช้คริปโตทุกคน บทเรียนยังคงเดิม: ตรวจสอบ Address ทุกครั้งหลัง Paste และอย่าไว้วางใจ USB ที่ไม่คุ้นเคย

 

Tags / คีย์เวิร์ด SEO: CryptoBandits, Crypto Clipper Malware, USB Malware, Microsoft Threat Intelligence, Clipboard Hijacking, Seed Phrase Security, Cryptocurrency Security, Windows Malware 2026, มัลแวร์คริปโต, ความปลอดภัยกระเป๋าเงินดิจิทัล

— รายงานโดยทีมข่าว Bitcoinaddict.com