อินโฟสตีลเลอร์

บทความนี้อ้างอิงคริสต์ศักราช/คริสต์ทศวรรษ/คริสต์ศตวรรษ ซึ่งเป็นสาระสำคัญของเนื้อหา

มัลแวร์ขโมยข้อมูล หรือ อินโฟสตีลเลอร์ (อังกฤษ: infostealer) เป็นมัลแวร์ชนิดม้าโทรจันที่ทำขึ้นเจาะระบบคอมพิวเตอร์เพื่อขโมยข้อมูลสำคัญต่าง ๆ รวมทั้งข้อมูลลงบันทึกเข้าบัญชี คุกกี้ช่วงสื่อสาร (session cookie) ข้อมูลการเงิน และข้อมูลที่ระบุตัวบุคคลได้ แล้วส่งข้อมูลไปยังเซิร์ฟเวอร์ของอาชญากร ต่อแต่นั้นก็มักจะนำไปแลกเปลี่ยนซื้อขายในตลาดมืดกับคนร้ายอื่น ๆ^[1]^[2]^[3] แม้คนร้ายมักจะใช้เพื่อหาเงิน แต่กลุ่มปฏิบัติการที่รัฐสนับสนุนก็อาจใช้เพื่อการสอดแนมทางไซเบอร์หรือเพื่อทำสงครามไซเบอร์ได้เช่นกัน^[4]

โปรแกรมขโมยข้อมูลสามารถสอดตัวเองเข้าสู่คอมพิวเตอร์หรืออุปกรณ์ด้วยวิธีต่าง ๆ เช่น การโจมตีแบบฟิชชิง การแพร่ผ่านเว็บไซต์ที่ติดมัลแวร์ และการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตราย ซึ่งรวมถึงม็อดเกมและซอฟต์แวร์ละเมิดลิขสิทธิ์ เมื่อติดตั้งแล้ว โปรแกรมจะสามารถเก็บข้อมูลแล้วส่งข้อมูลได้อย่างรวดเร็ว โดยทั่วไปในไม่กี่วินาทีจนถึงหนึ่งนาที^[2]^[4]

ข้อมูลที่ถูกขโมยจะรวบรวมแล้วขายเป็นชุดข้อมูล/บันทึกข้อมูล (logs) ผู้ร้ายอาจใช้ข้อมูลเพื่อทำทุจริต เช่น การฉ้อโกง หรือเพื่อเข้าถึงระบบและสินทรัพย์ต่าง ๆ โดยไม่ได้รับอนุญาต เมื่อเข้าถึงระบบได้ ก็อาจจะมีการละเมิดข้อมูลสำคัญ (data breach) หรือติดตั้งมัลแวร์เรียกค่าไถ่ ซึ่งทำให้เสียหายทางการเงินหรือทางอื่น ๆ^[2]^[4]

ผู้เขียนโปรแกรมอินโฟสตีลเลอร์มักจะให้เช่าใช้งานโดยมีรูปแบบธุรกิจเป็นบริการมัลแวร์ (malware-as-a-service, MaaS) ทำให้ผู้ใช้ไม่ว่าจะมีความรู้ด้านเทคนิคมากน้อยแค่ไหนก็ใช้งานได้^[2] ฟังก์ชันของโปรแกรมทั่วไปจะหลากหลาย บางตัวมุ่งเน้นการขโมยข้อมูลเท่านั้น บางตัวสามารถควบคุมเครื่องจากระยะไกลเพื่อติดตั้งและดำเนินการมัลแวร์เพิ่มเติม^[2]

อินโฟสตีลเลอร์สมัยใหม่มีกำเนิดที่ต้นปี 2007 ด้วยการเปิดตัวของ ZeuS/Zbot ซึ่งมุ่งขโมยข้อมูลธนาคารออนไลน์โดยเฉพาะ แล้วกลายเป็นโทรจันขโมยข้อมูลธนาคารที่แพร่หลายและซับซ้อนที่สุดตัวหนึ่งอย่างรวดเร็ว หลังจากการเปิดเผยซอร์สโค้ดในปี 2011 ตัวแปรใหม่ ๆ ก็เพิ่มจำนวนขึ้นอย่างมากมาย^[5]

พัฒนาการทางเทคโนโลยีและตลาดมืดได้ช่วยการพัฒนาและการแพร่กระจายของอินโฟสตีลเลอร์ในรูปแบบต่าง ๆ เพราะอาชญากรไซเบอร์ปรับกลวิธีอย่างต่อเนื่องเพื่อหลีกเลี่ยงการตรวจจับและเพื่อเพิ่มผลกำไร ปัจจุบัน อินโฟสตีลเลอร์ยังคงเป็นภัยคุกคามทั่วไปต่อบุคคล ธุรกิจ และองค์กรทั่วโลก^[5] บริษัทความมั่นคงทางไซเบอร์อเมริกัน Secureworks พบว่าจำนวนบันทึกข้อมูลของอินโฟสตีลเลอร์ ซึ่งถูกขโมยจากคอมพิวเตอร์แต่ละเครื่อง มีขายในรัสเชียนมาร์เก็ตเพิ่มขึ้นจาก 2 ล้านเป็น 5 ล้านชุดระหว่างเดือนมิถุนายน 2022–กุมภาพันธ์ 2023^[6] ส่วนบริษัทความมั่นคงทางไซเบอร์รัสเซีย แคสเปอร์สกี พบในกลางปี 2023 ว่าร้อยละ 24 ของบริการมัลแวร์ (MaaS) เป็นอินโฟสตีลเลอร์^[7] มันถูกใช้เพิ่มมากขึ้นโดยเป็นจุดเริ่มต้นของการโจมตีทางไซเบอร์ที่ซับซ้อน ทำให้กลายเป็นภัยคุกคามหลักด้านอาชญากรรมไซเบอร์^[5]

ในปลายปี 2022 พบว่า ประเทศไทยเป็นประเทศหนึ่งในท็อปเท็นที่ติดเชื้ออินโฟสตีลเลอร์มากที่สุด^[8]

อินโฟสตีลเลอร์เป็นภัยร้ายแรงเพราะสามารถขโมยข้อมูลสำคัญ เช่น รหัสผ่านและข้อมูลทางการเงิน มัลแวร์ประเภทนี้มีการพัฒนาอย่างต่อเนื่อง ทำให้ตรวจจับและกำจัดได้ยากขึ้น การเปลี่ยนไปทำงานระยะไกลของพนักงานเนื่องจากโควิด-19 ได้เพิ่มความเสี่ยงของอินโฟสตีลเลอร์ โดยเฉพาะอย่างยิ่งเนื่องกับนโยบายการนำอุปกรณ์ส่วนตัวมาใช้ในที่ทำงาน (BYOD) เพื่อป้องกันภัยคุกคามนี้ แนะนำให้อัปเดตซอฟต์แวร์เป็นประจำ ใช้รหัสผ่านที่แข็งแกร่งโดยไม่บันทึกไว้ในเบราว์เซอร์ ระวังอีเมลที่น่าสงสัย ระวังการคลิกลิงก์ ใช้งานการพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง และลงทุนในโซลูชันความปลอดภัยเพื่อตรวจจับและบล็อกอินโฟสตีลเลอร์ มาตรการเหล่านี้สามารถช่วยลดความเสี่ยงการถูกโจมตีได้^[2]^[4]

การทำงาน

อินโฟสตีลเลอร์มุ่งลอบรวบรวมข้อมูลสำคัญของเหยื่อโดยวิธีต่าง ๆ เช่น การทำรายการ/ลอกไฟล์ การบันทึกแป้นพิมพ์ การดึงข้อมูลเบราว์เซอร์ การจับภาพหน้าจอ และการคัดลอกคุกกี้ ข้อมูลที่รวบรวมจะส่งไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม^[5]

อินโฟสตีลเลอร์ใช้วิธีต่าง ๆ เพื่อโจมตีและดึงข้อมูลโดยเฉพาะ ๆ จากระบบที่ติดเชื้อ รูปแปรมัลแวร์มีตั้งแต่สคริปต์ง่าย ๆ จนถึงโปรแกรมมอดุลาร์ที่ซับซ้อน บางอย่างสามารถใช้ซอฟต์แวร์ของระบบปฏิบัติการ เป็นเทคนิคการใช้สิ่งที่มีอยู่แล้วที่เรียกว่า Living Off The Land (LOTL) วิธีการเหล่านี้ใช้ช่องโหว่ในการใช้ การจัดเก็บ และการส่งข้อมูล เทคนิคทั่วไปมีดังนี้^[3]^[9]^[10]

Form grabbing ดักฟอร์ม ดักข้อมูลที่ป้อนเข้าในฟอร์มเว็บหรือแอปอื่น ๆ ก่อนจะเข้ารหัสลับ เทคนิคนี้มีประสิทธิภาพโดยเฉพาะในการดักข้อมูลเข้าบัญชี รายละเอียดการชำระเงิน และข้อมูลอื่น ๆ
Web injection scripts เพิ่มเขตข้อมูลในแบบฟอร์มเว็บเพื่อดักข้อมูลที่กรอก แล้วส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี
การโจมตีแบบคนกลางในเบราว์เซอร์ (Man-in-the-browser) เพื่อฉีดโค้ดที่เป็นอันตรายเข้าไปในเว็บเบราว์เซอร์ นี้ช่วยให้สามารถดักจับและแก้ไขข้อมูลในเวลาจริงเมื่อผู้ใช้ป้อนข้อมูลบนเว็บไซต์ที่เข้ารหัสลับ
การบันทึกแป้นพิมพ์ (Keylogging) จะบันทึกทุกอย่างที่ผู้ใช้พิมพ์ ช่วยให้ผู้โจมตีขโมยข้อมูลสำคัญเช่น รหัสผ่านและข้อมูลบัตรเครดิต
Clipboard hijacking จะติดตามและเปลี่ยนเนื้อหาที่คัดลอกไปยังคลิปบอร์ด ช่วยเปลี่ยนหรือขโมยข้อมูลสำคัญ เช่น หมายเลขบัญชี (โดยเฉพาะที่ใช้กับคริปโต) หรือรหัสผ่าน เมื่อผู้ใช้คัดลอกข้อมูล
การจับภาพหน้าจอ (Screen capturing) จับภาพหน้าจอของผู้ใช้ในช่วงเวลาสำคัญ เช่น เมื่อกำลังป้อนข้อมูลการเข้าสู่ระบบหรือดูข้อมูลส่วนตัว วิธีนี้แอบขโมยข้อมูลที่แสดงบนหน้าจอโดยไม่จำกัดแค่ข้อมูลตัวอักษร
การไฮแจ็กเซสชันเบราว์เซอร์ (Browser session hijacking) จะขโมยคุกกี้และเซสชันโทเค็นจากหน่วยความจำแคชของเบราว์เซอร์ ช่วยให้แอบอ้างเป็นผู้ใช้คนนั้น เข้าถึงบัญชีออนไลน์โดยไม่ต้องใช้ชื่อผู้ใช้ รหัสผ่าน หรือการพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง
Credential dumping ดึงข้อมูลการเข้าบัญชีต่าง ๆ ที่เก็บไว้บนระบบ รวมทั้งที่เก็บไว้ในเว็บเบราวเซอร์หรือซอฟต์แวร์ลูกข่ายอื่น ๆ ทว่าข้อมูลเข้ารหัสลับไว้ ผู้โจมตีอาจพยายามเจาะออฟไลน์โดยใช้ฮาร์ดแวร์และซอฟต์แวร์เฉพาะทาง
การลอบเก็บอีเมลและไฟล์
Crypto-wallet harvesting ค้นหาซอฟต์แวร์กระเป๋าเงินคริปโตทั่วไป เพื่อขโมยกุญแจส่วนตัวจากแฟ้มที่รู้จัก ด้วยกุญแจเหล่านี้ ผู้โจมตีสามารถโอนเงินคริปโตจากบัญชีของเหยื่อได้

อินโฟสตีลเลอร์มักลอบเข้าสู่ระบบผ่านอีเมลฟิชชิง ไฟล์แนบที่เป็นอันตราย หรือเว็บไซต์ที่ถูกบุกรุก เมื่อติดตั้งแล้ว ก็จะทำงานอย่างลับ ๆ ทำให้ตรวจจับได้ยาก โดยใช้กลยุทธ์ต่าง ๆ เพื่อหลีกเลี่ยงการตรวจพบ เพื่อเกาะแน่นกับระบบ ค้นหาระบบเป้าหมายเพิ่มเติมในเครือข่าย และเปิดประดูให้ผู้โจมตีสั่งการได้จากระยะไกล อินโฟสตีลเลอร์ขั้นสูงจะทำเป็นโมดูล (มีลักษณะเป็นโมดุลาร์) โดยจะโหลดเพย์โหลดที่เหมาะกับงานหลังจากได้สแกนระบบและเครือข่ายเพื่อหาแหล่งข้อมูลที่มีค่าแล้ว^[9]

อินโฟสตีลเลอร์สมัยใหม่มักทำงานเป็นส่วนหนึ่งของบอตเน็ต มีเซิร์ฟเวอร์คำสั่งและควบคุม (C&C หรือ C2) จากระยะไกลจะซึ่งกำหนดเป้าหมายการโจมตีและกิจที่จะทำ^[3]

ข้อมูลที่ขโมย

อินโฟสตีลเลอร์จะขโมยข้อมูลต่าง ๆ กัน แต่ก็มักจะดึงข้อมูลต่อไปนี้^[1]^[2]^[5]^[11]

รหัสผ่านที่บันทึกไว้จากแอปต่าง ๆ รวมถึงบัญชีธนาคาร บัญชีอีเมล สื่อสังคม เครือข่ายส่วนตัวเสมือน และบริการเอฟทีพี
คริปโทเคอร์เรนซีวอลเลต
ข้อมูลบัญชีธนาคารและบัตรเครดิต
ประวัติการดูอินเทอร์เน็ต
คุกกี้และข้อมูลส่วนขยายของเบราวเซอร์
ไฟล์คอมพิวเตอร์ที่กำหนดรวมทั้งภาพ เอกสาร และสเปรดชีต
ภาพจับหน้าจอ
ข้อมูลและข้อความอีเมล
รายละเอียดเกี่ยวกับระบบปฏิบัติการ
รายละเอียดฮาร์ดแวร์คอมพิวเตอร์
ข้อมูลที่ระบุตัวบุคคลได้รวมทั้งเลขบัตรประชาชน ที่อยู่ และเบอร์โทร

อาชญากรสามารถนำข้อมูลที่ขโมยไปสร้างรายได้ด้วยวิธีต่าง ๆ ข้อมูลบัตรธนาคารสามารถนำไปขายต่อหรือใช้ได้โดยตรงเพื่อซื้อสินค้า การเข้าสู่ระบบบัญชีสามารถใช้ขโมยของที่ซื้อในอดีต (เช่นที่ซื้อในเกม) หรือใช้ซื้อของใหม่หากเชื่อมกับบัตรธนาคาร ข้อมูลเข้าสู่บัญชีสามารถขายส่งหรือแยกขายได้ เช่น บัญชีสื่อสังคมที่มีค่า รูปภาพและเอกสารสามารถใช้แบล็คเมล์หรือทำเงินได้เหมือนดังที่พบในมัลแวร์เรียกค่าไถ่ หรือเหตุการณ์ละเมิดความเป็นส่วนตัว เช่น การรั่วไหลภาพเปลือยของคนดังอเมริกันในปี 2014 (ที่เว็บไซต์ต่าง ๆ รวมทั้งเว็บลามกอนาจารได้ผลประโยชน์)^[12]

แรงจูงใจเบื้องหลัง

อาชญากรปกติมักต้องการได้ทรัพย์ ข้อมูลที่ถูกขโมยจะจัดเก็บไว้ในฐานข้อมูลเพื่อขายในตลาดมืดหรือช่องเทเลแกรมส่วนตัว ผู้ซื้ออาจใช้ข้อมูลนี้เพื่อการฉ้อโกง เช่น การสมัครขอสินเชื่อ การซื้อของออนไลน์ หรือการยื่นเบิกประกันสุขภาพปลอม ข้อมูลการเข้าสู่ระบบที่ถูกบุกรุกอาจให้สิทธิ์ในการเข้าถึงบัญชีบริษัทหรือบริการเข้าถึงระบบระยะไกล (RAS) เพื่อทำกิจกรรมที่เป็นอันตรายเพิ่ม อินโฟสตีลเลอร์มักใช้ในการตั้งมัลแวร์เรียกค่าไถ่ ซึ่งผู้โจมตีจะใช้เวลาในระบบเป้าหมายเพื่อรวบรวมข้อมูลและข้อมูลบันทึกเข้าบัญชี เพื่อจะเจาะเข้าระบบอื่นในเครือข่ายรอบ ๆ และเพื่อเพิ่มสิทธิ์ที่ใช้ก่อความเสียหายให้มากที่สุด^[2]

การกระจายเชื้อ/การติดตั้ง

อินโฟสตีลเลอร์เหมือนกับมัลแวร์อื่น ๆ ในการแพร่กระจายด้วยวิธีการต่าง ๆ ที่ใช้วิศวกรรมสังคมรวมถึง^[1]^[2]^[5]

ส่งผ่านทางอีเมล ทั้งเป็นแบบไฟล์แนบหรือลิงก์ที่เป็นอันตราย โดยคนส่งจะปลอมตัวเป็นองค์กรหรือบุคคลที่น่าเชื่อถือ
ฟิชชิง
Spear phishing เป็นฟิชชิ่งแบบเจาะจงเป้าหมายที่ปรับแต่งอีเมลให้เหมาะเฉพาะบุคคล มักใช้ข้อมูลส่วนบุคคลของเป้าหมายเพื่อเพิ่มโอกาสความสำเร็จ
SEO poisoning เป็นการจงใจจัดแจงดัชนีของเสิร์ชเอนจิน เพื่อปรับแต่งความเกี่ยวข้องหรือความโดดเด่นของลิงก์ที่ปรากฏในดัชนี แล้วชักนำให้ผู้ค้นหาดาวน์โหลดและดำเนินการมัลแวร์
ลิงก์อันตรายผ่านช่องทางอื่น ๆ รวมถึงคำอธิบายวิดีโอยูทูบ โพสต์ในเครือข่ายสังคมออนไลน์สาธารณะ
โฆษณาอันตราย รวมถึงที่พบบนเว็บไซต์ยอดนิยม
ซอฟต์แวร์ที่ติดมัลแวร์ รวมถึงม็อดเกมและซอฟต์แวร์ละเมิดลิขสิทธิ์

มาตรการป้องกัน

ข้อแนะนำเพื่อป้องกันระบบจากอินโฟสตีลเลอร์รวมถึง^[2]

ระมัดระวังการคลิกลิงก์ หลีกเลี่ยงการเปิดไฟล์แนบอีเมลที่น่าสงสัย หรือดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ
อัปเดตซอฟต์แวร์อยู่เสมอ อัปเดตเบราว์เซอร์ ระบบปฏิบัติการ และแอปเป็นประจำเพื่อปิดช่องโหว่ซึ่งอินโฟสตีลเลอร์มักใช้โจมตี
เสริมความปลอดภัยของเบราว์เซอร์ ให้ใช้ส่วนขยายเบราว์เซอร์เพื่อบล็อกเว็บไซต์ที่กระจายมัลแวร์และพยายามหลอกลวงแบบฟิชชิ่ง
ใช้การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง เพิ่มชั้นความปลอดภัยเพื่อป้องกันการเข้าถึงระบบและทรัพยากรต่าง ๆ โดยไม่ได้รับอนุญาต ซึ่งได้ผลแม้รหัสผ่านเข้าบัญชีจะรั่วไหล
หลีกเลี่ยงซอฟต์แวร์ละเมิดลิขสิทธิ์ เพราะมักจะมีมัลแวร์ ให้เลือกใช้ซอฟต์แวร์ที่ถูกต้องตามกฎหมายเพื่อลดความเสี่ยงจากการติดเชื้อ

สำหรับองค์กร การใช้มาตรการรักษาความปลอดภัยแบบเดิม ๆ อาจตรวจจับและรับมือกับอินโฟสตีลเลอร์ได้อย่างไม่มีประสิทธิภาพพอ นักวิจัยพบว่าร้อยละ 20 ของบันทึกข้อมูลที่ตรวจพบมาจากระบบที่ติดตั้งโปรแกรมป้องกันไวรัส คือโปรแกรมป้องกันอาจช่วยยับยั้งอินโฟสตีลเลอร์ไม่ได้^[1]

ความสัมพันธ์กับการโจมตีอื่น ๆ

Credential stuffing (การยัดข้อมูลเข้าบัญชี) เป็นการลอบลงเข้าบัญชีซึ่งใช้รายการรวม (combolist) ข้อมูลบันทึกเข้าบัญชีที่รั่วไหลไปก่อนหน้านี้จากเว็บไซต์และแอปต่าง ๆ บัญชีที่โจมตีอาจไม่ใช่บัญชีที่รั่วโดยตรง แต่เป็นบัญชีอื่น ๆ ซึ่งใช้ที่อยู่อีเมล์และรหัสผ่านตัวเดียวกันหรือคล้าย ๆ กัน

รายการรวมเช่นนี้ปัจจุบันอาจรวมข้อมูลจากอินโฟสตีลเลอร์ ซึ่งขโมยข้อมูลการพิสูจน์ตัวตนล่าสุด เช่น ชื่อผู้ใช้ รหัสผ่าน ที่อยู่อีเมล คุกกี้ของเบราวเซอร์ และข้อมูลกรอกอัตโนมัติจากอุปกรณ์ที่ติดเชื้อ ข้อมูลล่าสุดเช่นนี้ทำให้โจมตีแบบยัดข้อมูลเข้าบัญชีได้สำเร็จยิ่งขึ้น ถ้าผู้ใช้ยังไม่ได้แก้ไขปัญหาข้อมูลรั่วไหลให้ดี (เช่น เปลี่ยนหรือยกเลิกการใช้)

ตลาดมืด

ความเชี่ยวชาญเฉพาะด้านเป็นแนวโน้มที่สำคัญในเว็บมืด ซึ่งผู้ร้ายปัจจุบันจะทำการเพียงส่วนหนึ่ง ๆ ของอาชญากรรม แทนที่จะทำทั้งหมด ต่างกับอดีตที่กลุ่มเดียวกันบริหารการดำเนินงานทั้งหมด ปัจจุบันมีผู้เชี่ยวชาญเฉพาะด้านต่าง ๆ ที่ให้บริการแก่ลูกค้า^[11]

ตัวอย่างรูปแบบเดิมก็คือมัลแวร์ธนาคาร Zeus ซึ่งกลุ่มเดียวพัฒนา กระจาย และได้รับผลประโยชน์จากข้อมูลที่ขโมย ในทางตรงข้าม อาชญากรรมไซเบอร์ยุคใหม่อนุญาตให้บุคคลทั่วไปมีส่วนร่วมในบทบาทโดยเฉพาะ ๆ มีโอกาสได้รับผลกำไรจากข้อมูลที่ขโมย และมีอุปสรรคการเข้าร่วมที่น้อยกว่า^[11]

โปรแกรมขโมยข้อมูลมักขายเป็นบริการสมาชิกรายเดือนในฟอรั่มใต้ดินและตลาดมืดโดยมีราคา 50-1,000 ดอลลาร์สหรัฐ (ราว ๆ 1,740-34,800 บาท) ต่อเดือนเพื่อเข้าถึงเซิร์ฟเวอร์สั่งการและควบคุม บริการรวมฟังก์ชันสนับสนุนสำหรับดู ดาวน์โหลด และแชร์ข้อมูลที่ขโมยมา ฟอรั่มใต้ดินเป็นแพลตฟอร์มให้ผู้ร้ายคุยกันเกี่ยวกับโครงการซอฟต์แวร์ที่กำลังทำ การขอลูกเล่นใหม่ ๆ และรีวิวมัลแวร์ รวมถึงการโฆษณาและการขายอินโฟสตีลเลอร์ ฟอรั่มเหล่านี้มักมีกฎเกณฑ์ที่เข้มงวดและอาจมีบริการเอสโครว์ คือให้คนกลางถือเงินไว้ก่อนเมื่อมีการซื้อขายบริการ/สินค้า

ตลาดมืดมีบันทึกข้อมูลอินโฟสตีลเลอร์สำหรับขาย โดยสามารถเข้าถึงผ่านบริการนิรนามเช่น ทอร์หรือไอทูพี และอาจมีกฎระเบียบเกี่ยวกับข้อมูลที่ซื้อขาย นอกจากนี้ยังมีเครื่องมือหลังการโจมตีสำหรับแยกวิเคราะห์และดึงข้อมูลจากบันทึกข้อมูลที่ขโมยมา^[4]

รวม ๆ แล้ว แพลตฟอร์มเหล่านี้สะท้อนให้เห็นถึงภูมิทัศน์ที่กำลังเปลี่ยนแปลงไปของอาชญากรรมไซเบอร์ ตลาดจึงปรับตัวให้เข้ากับมาตรการดำเนินการทางกฎหมาย และใช้ประโยชน์จากเทคโนโลยีเพื่ออำนวยความสะดวกแก่อาชญากร^[4]

รัสเชียนมาร์เก็ต

รัสเชียนมาร์เก็ต (Russian Market) เป็นตลาดใต้ดินที่ใหญ่ที่สุดสำหรับบันทึกข้อมูลของอินโฟสตีลเลอร์ มีขายมากกว่า 5 ล้านชุด ณ เดือนกุมภาพันธ์ 2023 มากกว่าเป็น 10 เท่าของคู่แข่งรองลงไป บันทึกข้อมูลส่วนใหญ่จะมาจากอินโฟสตีลเลอร์รวมทั้ง เรดไลน์ แร็กคูน วีดาร์ และล่าสุด RisePRO แม้จะได้หยุดขายบันทึกของ ทอรัส และ AZORult แล้วก็ตาม ในเดือนตุลาคม 2022 ตลาดนี้ได้เปิดตัวการสั่งจองล่วงหน้าโดยผู้ซื้อต้องวางเงินมัดจำ 1,000 ดอลลาร์สหรัฐ (ราว ๆ 35,000 บาท) เพื่อเข้าถึงข้อมูลเข้าบัญชีตามชื่อโดเมนหรือแอปโดยเฉพาะ ๆ ที่จะได้ในอนาคต^[4]

ผู้เยี่ยมชมสามารถค้นหาสินค้าตามประเภทมัลแวร์ที่ใช้ ระบบปฏิบัติการของเหยื่อ และที่อยู่ของเหยื่อ ข้อมูลมีขายในราคาเฉลี่ย 10 ดอลลาร์ (ประมาณ 350 บาท) ต่อบันทึกข้อมูล จำนวนบันทึกทั้งหมดที่มีขายในตลาดนี้เพิ่มขึ้นเกือบร้อยละ 40 จากประมาณ 3.3 ล้านชุดเป็น 4.5 ล้านชุดระหว่างเดือนกรกฎาคม–ตุลาคม 2022^[8]

เจเนซิสมาร์เก็ต

เจเนซิสมาร์เก็ต (Genesis Market) เป็นตลาดที่ต้องได้รับเชิญเท่านั้น เน้นการขายบอตมากกว่าบันทึกข้อมูล บอตเหล่านี้คือคอมพิวเตอร์ผู้ใช้ที่ติดเชื้ออินโฟสตีลเลอร์ ซึ่งจะดักจับลักษณะเฉพาะของบราวเซอร์ (ที่เรียกว่าลายนิ้วมือเบราว์เซอร์) และขโมยข้อมูลอื่น ๆ ทำให้สามารถปลอมตัวเป็นเหยื่อ เข้าบัญชีธนาคารของเหยื่อ ยึดครองบัญชีต่าง ๆ และฉ้อโกงซื้อของ/บริการต่าง ๆ ได้ ผู้ซื้อมีสิทธิ์เข้าถึงข้อมูลเหยื่อแบบ "เอ็กซ์คลูซีฟ" รวมถึงอัปเดตข้อมูลจากอุปกรณ์ที่ติดมัลแวร์ ถึงแม้จะถูกปราบปรามโดยเจ้าหน้าที่ตำรวจในเดือนเมษายน 2023 ตลาดก็ยังคงเปิดให้บริการได้บ้าง^[4]

ทูอีซี่

ทูอีซี่ (2easy) เป็นตลาดออนไลน์ซึ่งเติบโตอย่างรวดเร็วที่อาชญากรไซเบอร์สามารถซื้อข้อมูลที่ถูกขโมยได้ โดยเปิดตัวในปี 2018 ให้บริการซื้อของอัตโนมัติโดยไม่ต้องติดต่อกับผู้ขายและมีราคาถูกกว่าตลาดมืดอื่นบางแห่ง ผู้ซื้อจะได้รับไฟล์บีบอัดซึ่งบรรจุข้อมูลที่ถูกขโมย ประเภทของข้อมูลที่ได้ขึ้นอยู่กับมัลแวร์ที่ใช้ขโมย เรดไลน์เป็นมัลแวร์ที่นิยม แต่ก็มีตัวเลือกอื่น ๆ ด้วย ในเดือนกุมภาพันธ์ 2023 ทูอีซี่มีบันทึกข้อมูลเกินกว่า 750,000 ชุดสำหรับขาย^[4]

เทเลแกรม

เทเลแกรมเป็นแอปส่งสารทันทียอดนิยมที่อาชญากรไซเบอร์ใช้มากขึ้นเรื่อย ๆ เพื่อขายข้อมูลที่ขโมยมา สาเหตุหนึ่งเป็นเพราะเจ้าหน้าที่ตำรวจได้ปิดตลาดมืดเดิม ๆ ลง เทเลแกรมมีลูกเล่นที่ดึงดูดอาชญากรไซเบอร์ เช่นการเข้ารหัสลับและช่องส่วนตัว อย่างไรก็ตาม ข้อจำกัดต่าง ๆ เช่นการขาดการค้นหาขั้นสูง การขาดเครื่องมือสร้างชื่อเสียง และการมีผู้หลอกลวง ก็ทำให้มันด้อยกว่าฟอรั่มดั้งเดิม^[4]

ชนิดต่าง ๆ

Zeus เป็นม้าโทรจันขโมยข้อมูลสำคัญตัวแรก ๆ ที่เกิดในปี 2006 ซึ่งได้รับการพัฒนาอย่างสำคัญตั้งแต่รหัสต้นฉบับได้รั่วในปี 2011 จึงเกิดรูปแปรที่ซับซ้อนต่าง ๆ รวมทั้งที่ปรับแต่งเพื่อโจมตีเป้าหมายโดยเฉพาะ ๆ เช่น LokiBot สำหรับเจาะแอนดรอยด์ และ Ducktail สำหรับเจาะบัญชีธุรกิจในเฟซบุ๊ก บางตัวเช่น BHUNT เน้นการขโมยคริปโทเคอร์เรนซี บางตัวเช่น IRON TILDEN ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐเพื่อการจารกรรม นักวิจัยของบริษัทได้ศึกษาโปรแกรมขโมยข้อมูลในส่วนย่อยของตลาดรัสเชียนมาร์เก็ตในปี 2022 แต่รายละเอียดเกี่ยวกับส่วนขยายบราวเซอร์และแอปที่เป็นเป้าหมายโจมตี ก็มักจะพบเฉพาะในไฟล์กำหนดค่าของโปรแกรมซึ่งเปลี่ยนแปลงได้เรื่อย ๆ^[4]

เรดไลน์

เรดไลน์ (RedLine) เป็นโปรแกรมขโมยข้อมูลบนวินโดวส์ที่นิยม ซึ่งปรากฏตัวในเดือนมีนาคม 2020 และเป็นสินค้าขายดีอันดับต้น ๆ บนตลาดรัสเชียนมาร์เก็ต วางจำหน่ายทั้งแบบแยกต่างหากและแบบสมัครสมาชิก โปรแกรมนี้มีเป้าเป็นเว็บเบราว์เซอร์เพื่อขโมยข้อมูล เช่นข้อมูลเข้าบัญชีที่ผู้ใช้บันทึกไว้ รายละเอียดบัตรเครดิต และคริปโทเคอร์เรนซีวอลเลต อนึ่ง ยังขโมยข้อมูลของแอปลูกข่ายเอฟทีพี ข้อมูลแอปข้อความส่งทันที ข้อมูลเครือข่ายส่วนตัวเสมือน และข้อมูลลูกข่ายเกมด้วย นอกจากนั้น ยังรวบรวมรายละเอียดของสิ่งแวดล้อมของระบบเพื่อช่วยในการโจมตีรอบสอง^[2]^[4]^[9]

เรดไลน์แจกกระจายผ่านเกมและแอปที่ถูกแคร็ก ฟิชชิ่ง และโฆษณาที่เป็นอันตราย เมื่อดำเนินการก็จะถอดรหัสข้อมูลที่ต้องใช้ เช่นที่อยู่ไอพีของเซิฟเวอร์, ขอข้อมูลการกำหนดค่าจากเซิร์ฟเวอร์ควบคุมและสั่งการ (C2), รวบรวมข้อมูลระบบ แล้วส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ C2^[4]^[9] เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ C2 ได้แล้ว ก็ยังสามารถดำเนินการฟังก์ชันระยะไกลได้ด้วย เช่น ดาวน์โหลดไฟล์ เรียกใช้ไฟล์สั่งทำการ สั่งทำการด้วย CMD.exe และอื่น ๆ^[2]

แร็กคูน

แร็กคูนซึ่งเปิดตัวครั้งแรกในปี 2019 ดำเนินการเป็นบริการมัลแวร์ โดยกระจายผ่านฟิชชิงและชุดแสวงหาประโยชน์ (exploit kit) หลังจากหยุดให้บริการชั่วคราวเพราะรัสเซียรุกรานยูเครนในเดือนมีนาคม 2022 และอาจเพราะนักพัฒนาหลักเสียชีวิตในสงคราม รุ่น V2 ก็ได้เปิดตัวในเดือนกรกฎาคม 2022 โปรแกรมนี้ได้พัฒนาอย่างต่อเนื่องเพื่อหลีกเลี่ยงการตรวจจับ สามารถขโมยข้อมูลต่าง ๆ และส่งเพย์โหลดรอง เช่น SystemBC (ซึ่งทำหน้าที่เป็นบอต ประตูหลัง พร็อกซีเซิร์ฟเวอร์ และโทรจันที่ให้ควบคุมระบบได้ในระยะไกล [RAT])^[2]^[4]

แร็กคูนรุ่น 2 จะดึงข้อมูลการกำหนดค่าของมันจากเซิร์ฟเวอร์ C2 ที่ฝังโค้ดไว้ (hardcoded) แล้วส่งข้อมูลขโมยผ่าน HTTP POST รุ่นนี้จะส่งข้อมูลทันทีหลังจากที่ขโมยได้ซึ่งต่างกับวิธีดั้งเดิม คือเน้นความเร็วเหนือการปกปิด และไม่ใช้การอำพรางหรือเทคนิคต่อต้านการวิเคราะห์^[2]^[4]

แร็กคูนมีเป้าหมายเป็นกระเป๋าเงินคริปโต ข้อมูลบราวเซอร์ รหัสผ่าน บัตรเครดิต และอื่น ๆ และกระจายผ่านฟิชชิงและชุดแสวงหาประโยชน์^[2]

วีดาร์

วีดาร์ซึ่งเห็นเป็นครั้งแรกในปี 2018–2019 เป็นโปรแกรมขโมยข้อมูลและติดตั้ง/ปล่อยมัลแวร์เรียกค่าไถ่ มีขายในฟอรั่มใต้ดินและช่องเทเลแกรม มีบริการแผงควบคุมสำหรับผู้ดูแลระบบเพื่อกำหนดค่าและติดตาม วีดาร์ขโมยข้อมูลระบบ ข้อมูลเบราว์เซอร์ รายละเอียดคริปโตเคอร์เรนซี ข้อมูลธนาคาร ข้อมูลการเข้าสู่ระบบ และที่อยู่ไอพี มันสามารถส่งเพย์โหลดรองเช่น SystemBC และใช้วิธีการต่าง ๆ เพื่อแพร่กระจายรวมถึงอีเมลฟิชชิ่งและซอฟต์แวร์ละเมิดลิขสิทธิ์^[2]^[4]

วีดาร์ยังคงได้รับความนิยมเพราะใช้งานง่าย มีอัปเดตเรื่อย ๆ และมีบริการสนับสนุน ผู้ร้ายสามารถเลือกปรับแต่งข้อมูลที่ต้องการขโมยได้ตามต้องการ^[2]

ทอรัส

ทอรัส (Taurus) หรือโครงการทอรัส เคยแพร่ระบาดตั้งแต่ไตรมาสที่ 2 ปี 2020 จนถึงปลายปี 2021 โปรแกรมขโมยข้อมูลนี้จะโฆษณาโดยส่วนใหญ่ในฟอรั่มภาษารัสเซีย มีเป้าหมายเป็นข้อมูลบัญชีเข้าใช้เครือข่ายเสมือน ข้อมูลบัญชีสื่อสังคม ข้อมูลคริปโทเคอร์เรนซี และอื่น ๆ ทอรัสกระจายผ่านอีเมลสแปมพร้อมไฟล์แนบอันตราย โดยส่งข้อมูลที่ขโมยได้ไปยังเซิร์ฟเวอร์ C2^[4]

ราดาแมนทิส

ราดาแมนทิส (Rhadamanthys) ที่เริ่มพบในปี 2022 ได้รับความนิยมอย่างรวดเร็วในฟอรั่มใต้ดินเพราะใช้ง่าย มัลแวร์ตัวนี้ดำเนินการเป็นบริการมัลแวร์ โจมตีแอปและข้อมูลผู้ใช้ได้หลากหลายประเภท มันเขียนด้วย C++ และใช้เทคนิคต่าง ๆ เพื่อหลีกเลี่ยงการตรวจจับ มันเข้ารหัสลิงก์ของ C2, ปลอมแปลงไฟล์กำหนดค่า และเข้ารหัสการสื่อสารหลังการติดเชื้อด้วยโพรโทคอล WebSocket^[4]

อินโฟสตีลเลอร์ที่รัฐสนับสนุน

กลุ่มก่อภัยที่รัฐสนับสนุนใช้อินโฟสตีลเลอร์เพื่อสอดแนมทางไซเบอร์ เช่น หน่วยงานรัสเซียใช้ Graphiron ในช่วงความขัดแย้งในยูเครน ซึ่งสามารถขโมยข้อมูลสำคัญ เช่น ข้อมูลระบบ ข้อมูลเข้าบัญชี และกุญแจส่วนตัว

ส่วนกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีนก็ใช้อินโฟสตีลเลอร์ เช่น Infostealer.Logdatter ในการรณรงค์สอดแนมที่มีเป้าหมายเป็นหน่วยงานรัฐบาลและหน่วยงานสาธารณะในเอเชีย โปรแกรมสามารถบันทึกแป้นพิมพ์ จับภาพหน้าจอ ขโมยข้อมูล ดาวน์โหลดไฟล์ ฉีดโค้ดเข้าในโปรแกรม และเข้าถึงฐานข้อมูล SQL ได้ ดังที่พบในกลุ่ม BRONZE ATLAS ในปี 2022^[4]

วงการ

เหมือนกับอาชญากรรมไซเบอร์อื่น ๆ ความสำเร็จของอินโฟสตีลเลอร์ขึ้นอยู่กับบุคลากรที่มีทักษะหลากหลาย เช่น นักพัฒนาซอฟต์แวร์ นายหน้าการเข้าถึงระบบเบื้องต้น (initial access broker) และลูกค้า การเติบโตของมัลแวร์โดยเป็นบริการ (MaaS) ทำให้คนมีส่วนร่วมในอาชญากรรมไซเบอร์ได้ง่ายขึ้น และกระตุ้นนักพัฒนาให้ปรับปรุงผลิตภัณฑ์เพื่อให้ดึงดูดลูกค้าบนแพลตฟอร์มใต้ดินได้มากขึ้น^[4]

นักพัฒนาซอฟต์แวร์

นักพัฒนาซอฟต์แวร์ในวงการผู้ร้ายไซเบอร์จะเป็นผู้สร้างและบำรุงรักษารหัสต้นทางตัวร้าย ซึ่งขายบนฟอรั่มใต้ดินโดยส่วนใหญ่ให้แก่นายหน้าการเข้าถึงระบบเบื้องต้น (IAB) มักจะดำเนินงานโดยใช้โมเดลธุรกิจมัลแวร์โดยเป็นบริการ (MaaS) ซึ่งมุ่งเน้นการปรับปรุงลูกเล่นของมัลแวร์ รวบรวมข้อเสนอแนะจากผู้ใช้ และปรับปรุงผลิตภัณฑ์อย่างต่อเนื่อง ความคิดเห็นจากลูกค้าบนฟอรั่มมีบทบาทสำคัญในการเพิ่มชื่อเสียงและความนิยมของมัลแวร์^[4]

นักพัฒนาดร็อปเปอร์/ผู้ขายอินสตอลล์

นักพัฒนาดร็อปเปอร์/ผู้ขายอินสตอลล์มีหน้าที่สร้างมัลแวร์ดร็อปเปอร์ซึ่งเป็นส่วนประกอบสำคัญในอาชญากรรมไซเบอร์ ออกแบบเพื่อหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัส และเป็นช่องทางให้ผู้ร้ายอื่น ๆ ดาวน์โหลดมัลแวร์ของตนเองลงบนอุปกรณ์เป้าหมาย ตัวอย่างรวม Smoke Loader ซึ่งเริ่มใช้งานตั้งแต่ปี 2011 โดยยังพัฒนาอยู่อย่างต่องเนื่อง นักพัฒนาอาจใช้โปรแกรมเหล่านี้เองหรือขายให้ผู้อื่นผ่านฟอรั่มในดาร์กเน็ต อนึ่ง มีบริการเช่น InstallsKey ที่ขายคอมพิวเตอร์ที่ติดตั้งดร็อปเปอร์เอาไว้ในราคาถูก เพื่อให้ผู้ซื้อสามารถดาวน์โหลดมัลแวร์ของตนเอง แม้น่าจะไม่จำกัดให้ใช้เฉพาะลูกค้านั้น ๆ ถึงแม้จะโฆษณาเช่นนั้น^[11]

นักพัฒนาอินโฟสตีลเลอร์

ผู้พัฒนาอินโฟสตีลเลอร์มีบทบาทสำคัญในวงการอาชญากรรมไซเบอร์ เพราะสร้างโปรแกรมที่ขโมยข้อมูลมีค่าจากอุปกรณ์ที่ติดเชื้อแล้วส่งให้ผู้ร้าย มัลแวร์นี้มักแพร่กระจายผ่านดร็อปเปอร์ โดยมีรูปแบบต่าง ๆ เช่น เรดไลน์, META Stealer, LummaC2 และอื่น ๆ ราคาสมาชิกมักอยู่ระหว่างหลายสิบถึงหลายร้อยดอลลาร์สหรัฐต่อเดือน ผู้ซื้อจะได้รับแอปที่เรียกว่าบิลเดอร์เพื่อปรับแต่งมัลแวร์ของตนเอง ทำให้สามารถหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัสทั่วไป และดึงเอาข้อมูลของเหยื่อผ่านแผงควบคุมเว็บหรือแอปข้อความเช่นเทเลแกรม^[11]

คริปเตอร์

นักพัฒนาคริปเตอร์จะชำนาญในการสร้างเครื่องมือที่บรรจุไฟล์ปฏิบัติการอันตรายในรูปแบบที่สามารถหลีกเลี่ยงการตรวจจับของซอฟต์แวร์ป้องกันไวรัส การใช้คริปเตอร์จึงเพิ่มสมรรถภาพการซ่อนตัวของมัลแวร์ ช่วยให้ไม่ถูกตรวจพบ เป็นการเสริมการหลีกเลี่ยงโปรแกรมต่อต้านไวรัสที่มีอยู่แล้วของดร็อปเปอร์และอินโฟสตีลเลอร์ ช่วยให้ดำเนินการได้อย่างลับ ๆ ยิ่งขึ้น^[11]

ทีมทราฟเฟอร์

ทีมทราฟเฟอร์คือกลุ่มบุคคลที่ร่วมมือกันเพื่อแพร่กระจายอินโฟสตีลเลอร์ในวงกว้าง ดำเนินการผ่านฟอรั่มและช่องเทเลแกรม ให้บริการแบบเต็มวงจรในการติดตั้งมัลแวร์บนคอม โดยแลกกับเปอร์เซ็นต์ของคริปโตเคอร์เรนซีที่ขโมยได้ ให้เครื่องมือต่าง ๆ เช่นอินโฟสตีลเลอร์ที่ไม่สามารถตรวจจับได้และคู่มือการสร้างเนื้อหาปลอม เช่น สร้างบทช่วยสอนบนยูทูบ เพื่อใช้กระจายมัลแวร์^[11]

ส่วนผู้จัดการทีมทราฟเฟอร์จะดูแลการดำเนินงานการใช้คริปเตอร์กับอินโฟสตีลเลอร์ บวกกับการใช้บอตเทเลแกรมเพื่อช่วยในการรับสมัครและจัดการคนงาน ซึ่งจะสำเร็จได้ก็ต่อเมื่อมีทักษะการสื่อสารที่ดีและความสามารถในการดึงดูดพนักงานด้วยข้อเสนอที่แข่งขันกับกลุ่มอื่น ๆ ได้ การชวนคนให้เข้าร่วมเพียงพออาจทำให้ได้ผลตอบแทนที่ดี^[11]

ส่วนผู้กระจายมัลแวร์ (Traffer team spreader) เป็นตำแหน่งระดับเริ่มต้นที่มีหน้าที่สร้างเนื้อหาปลอม เช่น บทช่วยสอนบนยูทูบ หรือสร้างหน้าเว็บหลอกลวง เพื่อที่จะกระจายมัลแวร์^[11]

ผู้ดำเนินการคลาวด์บันทึกข้อมูล

ผู้ดำเนินการคลาวด์บันทึกข้อมูล (Log Cloud Operator) จะดึงบันทึกข้อมูลมาจากแหล่งสาธารณะ นำมาแบรนด์ใหม่ให้ดูมีเอกลักษณ์และเป็นของตนเอง แล้วขายเพื่อผลกำไร โดยให้บริการบันทึกข้อมูลใหม่ ๆ ทุกวันผ่านแพลตฟอร์ม เช่น เทแลแกรมหรือ Mega.nz บันทึกอินโฟสตีลเลอร์จะรวบรวมจากแหล่งต่าง ๆ และอาจมีข้อมูลที่มีค่าสำหรับผู้ที่รู้ว่าต้องมองหาอะไร บริการนี้จะเน้นปริมาณมากกว่าคุณภาพ คลาวด์บันทึกข้อมูลบางแห่งจะสะสมข้อมูลได้เป็นเทราไบต์ ๆ เมื่อเวลาผ่านไป ๆ^[11]

ผู้ดำเนินการตลาดอัตโนมัติ

ผู้ดำเนินการตลาดอัตโนมัติ (Automated Market Operator) ดำเนินการแพลตฟอร์มออนไลน์ที่ผู้ร้ายสามารถซื้อบันทึกข้อมูลอินโฟสตีลเลอร์ที่คนอื่นไม่มี ซึ่งให้สามารถเข้าถึงระบบและข้อมูลต่าง ๆ โดยไม่ได้รับอนุญาต รัสเชียนมาร์เก็ตเป็นตลาดมืดที่ใหญ่ที่สุดสำหรับบันทึกข้อมูลอินโฟสตีลเลอร์ หลังการล่มสลายของตลาดหลักอื่น ๆ เช่น เจเนซิสมาร์เก็ตและทูอีซี่ ณ เดือนกรกฎาคม 2024 รัสเชียนมาร์เก็ตมีบันทึกข้อมูลมากกว่า 7 ล้านชุดที่พร้อมจำหน่ายในราคา 10 ดอลลาร์สหรัฐหรือน้อยกว่า^[11]

นายหน้าการเข้าถึงเบื้องต้น

นายหน้าการเข้าถึงเบื้องต้น (Initial Access Brokers, IABs) เป็นบุคคลหรือกลุ่มบุคคลที่เช่าเครื่องมือจากผู้ให้บริการมัลแวร์เพื่อติดตั้งอินโฟสตีลเลอร์ ผ่านการโจมตีด้วยฟิชชิ่งหรือโฆษณามุ่งร้ายอันตราย โปรแกรมที่ใช้จะออกแบบให้ขโมยข้อมูลจากระบบที่ถูกโจมตีและส่งข้อมูลไปยังเซิร์ฟเวอร์สั่งการและควบคุม (C2) ข้อมูลที่ขโมยซึ่งรวมถึงข้อมูลสำคัญเช่น ข้อมูลเข้าบัญชีบริการต่าง ๆ ต่อจากนั้นก็จะขายให้กับผู้ร้ายต่าง ๆ เพื่อใช้ทำสิ่งที่ผิดกฎหมาย^[4]

นายหน้าการเข้าถึงเบื้องต้นอาจเป็นบุคคลหรือกลุ่มที่เชี่ยวชาญในการเข้าถึงและขายข้อมูลมีค่าที่พบในคลาวด์บันทึกข้อมูลซึ่งมีข้อมูลมหาศาล หรือพบในตลาดอัตโนมัติ พวกเขาค้นหาข้อมูลเข้าบัญชีที่ได้จากอินโฟสตีลเลอร์ ทำให้เข้าถึงเครือข่ายที่ถูกโจมตีได้ ต่อจากนั้น ก็จะนำเสนอขายวิธีการเข้าถึงให้แก่ลูกค้าเช่น กลุ่มมัลแวร์เรียกค่าไถ่^[11]

ผู้ชำนาญการแจงส่วนบันทึกข้อมูล

ผู้ชำนาญการแจงส่วนบันทึกข้อมูล (Specialist log parsers) มีบทบาทสำคัญในวงการอาชญากรรมไซเบอร์ เพราะให้เครื่องมือในการตีความและสกัดข้อมูลอันมีค่าจากบันทึกข้อมูลดิบดั้งเดิมของอินโฟสตีลเลอร์ แม้ตลาดอย่างเจเนซิสมาร์เก็ตจะมีลูกเล่นการแจงส่วนข้อมูลในตัว แต่ตลาดอื่น ๆ ก็ขายข้อมูลดิบที่จำต้องประมวลผลเพิ่ม การแจงส่วนบันทึกข้อมูลอาจซับซ้อนเนื่องจากรูปแบบข้อมูลที่มีหลากหลายและข้อมูลที่มีมากมาย ทำให้เกิดตลาดรองสำหรับเครื่องมือแจงส่วนข้อมูลที่ปรับแต่งได้ตามความต้องการของลูกค้าโดยเฉพาะ ๆ ไม่ว่าจะเป็นลูกค้าที่กระจายอินโฟสตีลเลอร์และต้องการขายข้อมูลที่แจงส่วนแล้ว หรือลูกค้าที่ต้องการแจงส่วนบันทึกข้อมูลจำนวนมากที่มีอยู่^[4]

ผู้ขายต่อ URL:Log:Pass คือผู้ร้ายที่มุ่งขายไฟล์ txt ที่มียูอาร์แอล ข้อมูลการเข้าบัญชี และรหัสผ่านที่สกัดมาจากบันทึกข้อมูลบีบอัด ส่วนนี้ของตลาดเกิดขึ้นเพื่อตอบสนองความต้องการของบุคคลที่ต้องการข้อมูลการเข้าสู่ระบบโดยเฉพาะ ๆ และไม่ต้องการค้นหาในชุดบันทึกข้อมูลขนาดยักษ์ การให้บริการเป็นไฟล์ที่ย่อให้มีขนาดจัดการได้ง่ายในระดับกิกะไบต์ ทำให้ผู้ใช้ค้นหาข้อมูลบัญชีที่ต้องการได้โดยใช้เครื่องมือทั่วไปเช่น เกร็ป แม้จะดำเนินงานคล้ายกับผู้ดำเนินการคลาวด์บันทึกข้อมูล แต่ผู้ขายต่อ URL:Log:Pass จะจัดการและเก็บข้อมูลน้อยกว่า ทำให้กระบวนการมีประสิทธิภาพมากขึ้น^[11]

ยังมีบริการอื่น ๆ รวมถึงเว็บไซต์และบอตเทเลแกรม ที่ช่วยให้เข้าถึงไฟล์เหล่านี้ ทำให้ผู้ใช้สามารถค้นหารายละเอียดการเข้าสู่ระบบได้โดยไม่ต้องมีความรู้ทางเทคนิคขั้นสูงหรือแม้แต่ความคุ้นเคยกับเครื่องมือเช่น เกร็ป^[11]

ลูกค้า

ลูกค้าข้อมูลที่ถูกขโมย เช่นอาชญากรไซเบอร์และกลุ่มมัลแวร์เรียกค่าไถ่ที่ต้องการหาเงิน ซื้อข้อมูลที่ได้จากอินโฟสตีลเลอร์เพื่อวัตถุประสงค์ต่าง ๆ ข้อมูลมีตั้งแต่การเข้าบัญชีของกระเป๋าเงินคริปโตจนถึงข้อมูลเข้าสู่ระบบบัญชีองค์กร ซึ่งสามารถใช้ฉ้อโกงหรือเข้าถึงองค์กรโดยไม่ได้รับอนุญาต ความต้องการข้อมูลจากอินโฟสตีลเลอร์ได้เพิ่มขึ้นอย่างรวดเร็วพร้อมกับการเติบโตของโมเดลมัลแวร์เรียกค่าไถ่โดยเป็นบริการ (RaaS)^[4]

สคริปต์คิดดี้

สคริปต์คิดดี้ซึ่งบางครั้งเป็นเยาวชนที่เบื่อและต้องการเงินด่วนหรือสร้างความวุ่นวายออนไลน์ อาจใช้ประโยชน์จากเครื่องมือที่มีอยู่ทั่วไปเช่นอินโฟสตีลเลอร์เพื่อสร้างความเสียหายโดยไม่ต้องมีทักษะการเขียนโปรแกรม พวกเขาสามารถเข้าถึงข้อมูลที่ถูกขโมย หรือแพร่กระจายมัลแวร์ หรือทดสอบข้อมูลเข้าบัญชีด้วยเครื่องมือที่ทำสำเร็จรูปได้อย่างง่ายดาย ตัวอย่างคือกลุ่มแฮ็กเกอร์ Lapsus$ ซึ่งประกอบด้วยวัยรุ่น ที่ขโมยข้อมูลขนาด 780 กิกะไบต์จากบริษัทเกม Electronic Arts และแฮ็กบริษัทอูเบอร์โดยอาศัยอินโฟสตีลเลอร์^[11]

เหยื่อ

เหยื่อที่ถูกโจมตีทางไซเบอร์มักจะตกอยู่ในสถานการณ์ที่จำใจต้องจ่ายค่าไถ่ให้แก่กลุ่มอาชญากร เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลที่ละเอียดอ่อน หรือเพื่อเอาคืนข้อมูลสำคัญที่จำเป็นเพื่อดำเนินธุรกิจ แต่ก็เท่ากับสนับสนุนอาชญากรรมอย่างไม่ได้ตั้งใจ^[5]

ตั้งแต่เดือนกรกฎาคม–ตุลาคม 2022 ประเทศอินเดีย อินโดนีเซีย และบราซิล เป็นประเทศที่มีจำนวนเหยื่ออินโฟสตีลเลอร์สูงสุดในรัสเชียนมาร์เก็ต ซึ่งอาจเป็นเพราะมีประชากรมาก แต่มีความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ที่ค่อนข้างต่ำ ในช่วงเวลานี้ จำนวนเหยื่อเพิ่มขึ้นร้อยละ 33 ในอินเดีย, ร้อยละ 30 ในอินโดนีเซีย และร้อยละ 40 ในบราซิล ประเทศท็อปเท็นอื่น ๆ รวมปากีสถาน เวียดนาม อียิปต์ ประเทศไทย ฟิลิปปินส์ ตุรกี และสหรัฐอเมริกา^[8]

เชิงอรรถและอ้างอิง

↑ ^1.0 ^1.1 ^1.2 ^1.3 Habtemariam, Yoseph (2023-11-09). "Infostealers". SpyCloud. เก็บจากแหล่งเดิมเมื่อ 2023-12-08. สืบค้นเมื่อ 2024-07-16.
↑ ^2.00 ^2.01 ^2.02 ^2.03 ^2.04 ^2.05 ^2.06 ^2.07 ^2.08 ^2.09 ^2.10 ^2.11 ^2.12 ^2.13 ^2.14 ^2.15 ^2.16 Conrad, Senan (2022-10-04). "Infostealers: What they are, how they spread and how to stop them". Emsisoft. สืบค้นเมื่อ 2024-07-16.
↑ ^3.0 ^3.1 ^3.2 "Info stealers". Malwarebytes. 2023-10-30. เก็บจากแหล่งเดิมเมื่อ 2024-02-22. สืบค้นเมื่อ 2024-07-19.
↑ ^4.00 ^4.01 ^4.02 ^4.03 ^4.04 ^4.05 ^4.06 ^4.07 ^4.08 ^4.09 ^4.10 ^4.11 ^4.12 ^4.13 ^4.14 ^4.15 ^4.16 ^4.17 ^4.18 ^4.19 ^4.20 ^4.21 ^4.22 ^4.23 "The Growing Threat from Infostealers". Secureworks. 2023-05-16. เก็บจากแหล่งเดิมเมื่อ 2024-02-29. สืบค้นเมื่อ 2024-07-16.
↑ ^5.0 ^5.1 ^5.2 ^5.3 ^5.4 ^5.5 ^5.6 Lobo, Mario (2024-02-08). "Infostealers, a Silent Threat Compromising the World". Lumu Technologies. เก็บจากแหล่งเดิมเมื่อ 2024-07-02. สืบค้นเมื่อ 2024-07-16.
↑ Hendery, Simon (2023-05-17). "Data log thefts explode as infostealers gain popularity with cybercriminals". SC Media. เก็บจากแหล่งเดิมเมื่อ 2023-10-17. สืบค้นเมื่อ 2024-07-18.
↑ "58 percent of malware families sold as a service are ransomware". www.kaspersky.com. 2023-06-15. เก็บจากแหล่งเดิมเมื่อ 2024-04-18. สืบค้นเมื่อ 2024-07-18.
↑ ^8.0 ^8.1 ^8.2 "Infostealer Malware on the Dark Web". Accenture. 2022-12-05. เก็บจากแหล่งเดิมเมื่อ 2024-06-04. สืบค้นเมื่อ 2024-07-19.
↑ ^9.0 ^9.1 ^9.2 ^9.3 "What is InfoStealer Malware and How Does It Work?". Packetlabs. 2024-05-15. เก็บจากแหล่งเดิมเมื่อ 2024-05-25.
↑ "Infostealer - Trends and how to detect them before it's too late". Atos. 2023-12-05. เก็บจากแหล่งเดิมเมื่อ 2024-02-27. สืบค้นเมื่อ 2024-07-19.
↑ ^11.00 ^11.01 ^11.02 ^11.03 ^11.04 ^11.05 ^11.06 ^11.07 ^11.08 ^11.09 ^11.10 ^11.11 ^11.12 ^11.13 ^11.14 "10,000 Victims a Day: Infostealer Garden of Low-Hanging Fruit". The Hacker News. 2024-07-10. เก็บจากแหล่งเดิมเมื่อ 2024-07-16. สืบค้นเมื่อ 2024-07-16.
↑ Aurora, Fennel (2020-10-08). "What Are Infostealers?". F-Secure Blog. เก็บจากแหล่งเดิมเมื่อ 2024-06-23. สืบค้นเมื่อ 2024-07-19.

[SpyCloud-2023-11-09-1] 1.0 ^1.1 ^1.2 ^1.3 Habtemariam, Yoseph (2023-11-09). "Infostealers". SpyCloud. เก็บจากแหล่งเดิมเมื่อ 2023-12-08. สืบค้นเมื่อ 2024-07-16.

[Emsisoft-2022-10-04-2] 2.00 ^2.01 ^2.02 ^2.03 ^2.04 ^2.05 ^2.06 ^2.07 ^2.08 ^2.09 ^2.10 ^2.11 ^2.12 ^2.13 ^2.14 ^2.15 ^2.16 Conrad, Senan (2022-10-04). "Infostealers: What they are, how they spread and how to stop them". Emsisoft. สืบค้นเมื่อ 2024-07-16.

[Malwarebytes-2023-10-30-3] 3.0 ^3.1 ^3.2 "Info stealers". Malwarebytes. 2023-10-30. เก็บจากแหล่งเดิมเมื่อ 2024-02-22. สืบค้นเมื่อ 2024-07-19.

[Secureworks-2023-05-16-4] 4.00 ^4.01 ^4.02 ^4.03 ^4.04 ^4.05 ^4.06 ^4.07 ^4.08 ^4.09 ^4.10 ^4.11 ^4.12 ^4.13 ^4.14 ^4.15 ^4.16 ^4.17 ^4.18 ^4.19 ^4.20 ^4.21 ^4.22 ^4.23 "The Growing Threat from Infostealers". Secureworks. 2023-05-16. เก็บจากแหล่งเดิมเมื่อ 2024-02-29. สืบค้นเมื่อ 2024-07-16.

[Lumu2024-02-08-5] 5.0 ^5.1 ^5.2 ^5.3 ^5.4 ^5.5 ^5.6 Lobo, Mario (2024-02-08). "Infostealers, a Silent Threat Compromising the World". Lumu Technologies. เก็บจากแหล่งเดิมเมื่อ 2024-07-02. สืบค้นเมื่อ 2024-07-16.

[m001-6] Hendery, Simon (2023-05-17). "Data log thefts explode as infostealers gain popularity with cybercriminals". SC Media. เก็บจากแหล่งเดิมเมื่อ 2023-10-17. สืบค้นเมื่อ 2024-07-18.

[Kaspersky-7] "58 percent of malware families sold as a service are ransomware". www.kaspersky.com. 2023-06-15. เก็บจากแหล่งเดิมเมื่อ 2024-04-18. สืบค้นเมื่อ 2024-07-18.

[accenture-2022-12-05-8] 8.0 ^8.1 ^8.2 "Infostealer Malware on the Dark Web". Accenture. 2022-12-05. เก็บจากแหล่งเดิมเมื่อ 2024-06-04. สืบค้นเมื่อ 2024-07-19.

[Packetlabs-2024-05-15-9] 9.0 ^9.1 ^9.2 ^9.3 "What is InfoStealer Malware and How Does It Work?". Packetlabs. 2024-05-15. เก็บจากแหล่งเดิมเมื่อ 2024-05-25.

[atos-2023-12-05-10] "Infostealer - Trends and how to detect them before it's too late". Atos. 2023-12-05. เก็บจากแหล่งเดิมเมื่อ 2024-02-27. สืบค้นเมื่อ 2024-07-19.

[Hacker-2024-07-10-11] 11.00 ^11.01 ^11.02 ^11.03 ^11.04 ^11.05 ^11.06 ^11.07 ^11.08 ^11.09 ^11.10 ^11.11 ^11.12 ^11.13 ^11.14 "10,000 Victims a Day: Infostealer Garden of Low-Hanging Fruit". The Hacker News. 2024-07-10. เก็บจากแหล่งเดิมเมื่อ 2024-07-16. สืบค้นเมื่อ 2024-07-16.

[f-secure-2020-10-08-12] Aurora, Fennel (2020-10-08). "What Are Infostealers?". F-Secure Blog. เก็บจากแหล่งเดิมเมื่อ 2024-06-23. สืบค้นเมื่อ 2024-07-19.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]