📌 สรุปประเด็นสำคัญ
- Microsoft เปิดโปงมัลแวร์ขโมยคริปโตชื่อ Trojan:Win32/CryptoBandits.A ที่แพร่ผ่าน แฟลชไดรฟ์ USB
- มัลแวร์แอบใช้ไฟล์ทางลัด (.LNK) ปลอมเป็นไฟล์จริงบน USB เมื่อคลิกจะติดตั้งตัวเอง และแพร่ต่อไปยัง USB ที่เสียบใหม่
- มอนิเตอร์คลิปบอร์ดทุก ~500 มิลลิวินาที เพื่อขโมย seed phrase, private key และ สลับที่อยู่กระเป๋า ตอนคัดลอก-วาง
- ส่งข้อมูลออกผ่านเครือข่าย Tor เพื่อปกปิดตัวตน — แคมเปญแฝงตัวเงียบมาตั้งแต่ ก.พ. 2026
ผู้ถือคริปโตต้องระวังตัวเป็นพิเศษ หลัง Microsoft ออกประกาศเตือนภัยมัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อขโมยทรัพย์สินดิจิทัลโดยเฉพาะ ใช้กลวิธี “หนอน” (worm) แพร่กระจายผ่านแฟลชไดรฟ์ USB ผสมกับการดักขโมยข้อมูลจากคลิปบอร์ด
🦠 CryptoBandits ทำงานอย่างไร
มัลแวร์ที่ Microsoft ติดตามในชื่อ Trojan:Win32/CryptoBandits.A เริ่มจากการซ่อนไฟล์จริงบนแฟลชไดรฟ์ แล้วสร้างไฟล์ทางลัด (.LNK) ที่หน้าตาเหมือนกันเป๊ะมาวางแทน เมื่อเหยื่อเสียบ USB แล้วดับเบิลคลิกไฟล์ที่คิดว่าเป็นของจริง มัลแวร์จะถูกติดตั้งลงเครื่องทันที
📋 จุดอันตราย: ดักคลิปบอร์ดสลับที่อยู่กระเป๋า
เมื่อฝังตัวสำเร็จ มัลแวร์จะคอยมอนิเตอร์คลิปบอร์ดของ Windows ทุกประมาณ 500 มิลลิวินาที เพื่อมองหา seed phrase, private key และที่อยู่กระเป๋าปลายทาง จากนั้นสามารถ แอบสลับที่อยู่กระเป๋าของผู้โจมตี เข้าไปแทนตอนที่ผู้ใช้คัดลอก-วางเพื่อโอนเหรียญ ทำให้เงินถูกส่งผิดปลายทางโดยไม่รู้ตัว ข้อมูลที่ขโมยได้จะถูกส่งออกผ่านเครือข่าย Tor เพื่อหลบการตรวจจับ
| พฤติกรรม | รายละเอียด |
|---|---|
| ช่องทางแพร่ | ไฟล์ทางลัด .LNK ปลอมบน USB |
| เป้าหมาย | seed phrase, private key, ที่อยู่กระเป๋า |
| การส่งข้อมูล | ผ่านเครือข่าย Tor (ปกปิดตัวตน) |
| เริ่มแพร่ระบาด | ตั้งแต่ ก.พ. 2026 (เพิ่งถูกเปิดโปง) |
🛡️ วิธีป้องกันตัว
- อย่าเสียบแฟลชไดรฟ์ที่ไม่รู้ที่มา และปิดการ AutoRun
- ตรวจสอบที่อยู่กระเป๋าปลายทาง ทุกครั้ง ก่อนกดยืนยันโอน โดยเทียบตัวอักษรต้น-ท้าย
- ใช้ Hardware Wallet และเปิด antivirus ให้อัปเดตล่าสุด
- ห้ามเก็บ seed phrase เป็นไฟล์ดิจิทัลหรือคัดลอกลงคลิปบอร์ด
“ภัยจาก ‘กุญแจรั่ว’ และมัลแวร์ดักคลิปบอร์ด กลายเป็นสาเหตุการสูญเสียคริปโตที่ใหญ่ที่สุด แซงหน้าช่องโหว่โค้ดไปแล้ว” — แนวโน้มความปลอดภัยปี 2026
ภัยคุกคามนี้ตอกย้ำเทรนด์ความปลอดภัยปี 2026 ที่การโจมตีมุ่งเป้าที่ “กุญแจส่วนตัว” ของผู้ใช้โดยตรง สอดคล้องกับ รายงานวิกฤตแฮก DeFi ปี 2026 ที่เงินหายเกิน 840 ล้านดอลลาร์ โดย “กุญแจรั่ว” แซงช่องโหว่โค้ด
📌 สรุป: จับตาอะไรต่อ
- การอัปเดตนิยามภัยคุกคามจาก Microsoft Defender และโปรแกรม antivirus
- มัลแวร์สาย clipboard hijacker รุ่นใหม่ ๆ ที่อาจเลียนแบบเทคนิคนี้
- ความเสียหายสะสมของผู้ใช้คริปโตจากการโจมตีระดับ endpoint
