Kaspersky พบ 'OkoBot' เฟรมเวิร์กมัลแวร์ใหม่ รวมกว่า 20 เครื่องมือในหนึ่งเดียว พุ่งเป้าขโมย Seed Phrase จากกระเป๋าคริปโต
นักวิจัยด้านความปลอดภัยจาก Kaspersky ค้นพบเฟรมเวิร์กมัลแวร์ตัวใหม่ชื่อ 'OkoBot' ที่รวมเครื่องมือโจมตีกว่า 20 ชนิดไว้ด้วยกัน โดยมีเป้าหมายหลักเพื่อขโมยข้อมูลสำคัญและรหัสผ่านกระเป๋าเงินดิจิทัล
ทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) ของ Kaspersky ได้เปิดเผยการค้นพบเฟรมเวิร์กมัลแวร์ (malicious framework) ที่เปรียบเสมือนชุดเครื่องมือสำหรับแฮกเกอร์ตัวใหม่ในชื่อ 'OkoBot' ซึ่งปฏิบัติการโจมตีผู้ใช้งาน Windows มาตั้งแต่เดือนเมษายน 2025 โดยทางทีมได้ระบุการโจมตีได้อย่างชัดเจนในเดือนมกราคม 2026 ที่ผ่านมา
ความน่ากังวลของ OkoBot คือการที่มันไม่ได้เป็นมัลแวร์เดี่ยวๆ แต่เป็นแพลตฟอร์มที่สามารถปล่อยเพย์โหลด (payload) หรือชุดคำสั่งมุ่งร้ายกว่า 20 รายการ เพื่อทำหน้าที่แตกต่างกันไป ตั้งแต่การขโมยข้อมูลประจำตัว (credentials), ข้อมูลการเงิน ไปจนถึงเป้าหมายหลักคือการขโมย seed phrase (ชุดคำศัพท์กู้คืนกระเป๋าเงิน) ของกระเป๋าเงินคริปโตเคอร์เรนซี
วิธีการแพร่กระจายหลักมี 2 ช่องทาง คือการโจมตีแบบ 'ClickFix' ที่หลอกล่อให้ผู้ใช้รันโค้ดอันตราย และการแพร่กระจายผ่าน GitHub โดยปลอมตัวเป็นซอฟต์แวร์ที่น่าเชื่อถือ ตัวอย่างที่พบคือตัวติดตั้งปลอมของ SQL Server Management Studio (SSMS) ซึ่งเป็นเครื่องมือจัดการฐานข้อมูลที่ใช้กันอย่างแพร่หลายของ Microsoft ทำให้ผู้ใช้ที่ไม่ระวังอาจติดตั้งมัลแวร์ลงเครื่องโดยไม่รู้ตัว
หนึ่งในโมดูลที่อันตรายที่สุดคือ 'SeedHunter' ซึ่งถูกออกแบบมาเพื่อตรวจสอบว่าผู้ใช้กำลังเปิดโปรแกรมกระเป๋าเงินคริปโตยอดนิยมอย่าง Trezor Suite, Ledger Wallet หรือ Ledger Live หรือไม่ หากพบ มันจะฝังตัวเองเข้าไปในโปรแกรมนั้นๆ แล้วแสดงหน้าต่างฟิชชิง (phishing) ที่สร้างขึ้นมาหลอกลวงโดยเฉพาะ เพื่อให้ผู้ใช้กรอก seed phrase ของตนเองลงไป โดยหน้าต่างหลอกลวงนี้จะถูกปรับเปลี่ยนให้เข้ากับหน้าตาของโปรแกรมกระเป๋าเงินแต่ละยี่ห้อเพื่อความสมจริง
จนถึงปัจจุบัน มีรายงานผู้ที่ตกเป็นเหยื่อแล้วหลายร้อยรายในกว่า 25 ประเทศทั่วโลก โดยประเทศที่พบสัดส่วนผู้ถูกโจมตีมากที่สุดคือ บราซิล, เวียดนาม, แคนาดา, เม็กซิโก และตุรกี ขณะนี้ยังไม่สามารถระบุตัวตนของกลุ่มผู้โจมตีที่อยู่เบื้องหลัง OkoBot ได้
แม้ยังไม่มีรายงานผู้เสียหายในไทยติดอันดับต้นๆ แต่การโจมตีนี้ใช้เทคนิคแพร่กระจายผ่านซอฟต์แวร์ปลอมที่คนทั่วไปอาจตกเป็นเหยื่อได้ง่าย โดยเฉพาะผู้ใช้งานกระเป๋าเงินคริปโตในไทยซึ่งมีจำนวนมาก ควรเพิ่มความระมัดระวังในการดาวน์โหลดโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ