อินโฟสตีลเลอร์

โปรแกรมขโมยข้อมูล (Infostealer) คือมัลแวร์ที่สแกนคอมพิวเตอร์เพื่อค้นหาข้อมูลส่วนบุคคล (PII) เช่นรายละเอียดการเข้าสู่ระบบและข้อมูลทางการเงิน จากนั้นข้อมูลจะถูกส่งไปยังผู้โจมตี ซึ่งมักจะนำไปขายในตลาดมืดบนอินเทอร์เน็ต

โปรแกรมขโมยข้อมูลมักประกอบด้วยเฟรมเวิร์กบอทที่ช่วยให้ผู้โจมตีสามารถกำหนดค่าพฤติกรรมของโปรแกรมขโมยข้อมูลได้ และแผงควบคุมการจัดการที่อยู่ในรูปแบบของเซิร์ฟเวอร์ซึ่งโปรแกรมขโมยข้อมูลจะส่งข้อมูลไปให้ โปรแกรมขโมยข้อมูลแทรกซึมเข้าสู่อุปกรณ์ผ่าน การโจมตี แบบฟิชชิงเว็บไซต์ที่ติดไวรัส และการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตราย รวมถึงม็อดเกมและซอฟต์แวร์ละเมิดลิขสิทธิ์เป็นต้น เมื่อดาวน์โหลดแล้ว โปรแกรมขโมยข้อมูลจะรวบรวมข้อมูลสำคัญเกี่ยวกับอุปกรณ์ของผู้ใช้และส่งข้อมูลกลับไปยังเซิร์ฟเวอร์

อินโฟสตีลเลอร์มักถูกแจกจ่ายภายใต้โมเดลมัลแวร์แบบบริการ (MaaS) ซึ่งนักพัฒนาอนุญาตให้บุคคลอื่นใช้อินโฟสตีลเลอร์ของตนโดยเสียค่าสมัครสมาชิก ฟังก์ชันการทำงานของอินโฟสตีลเลอร์อาจแตกต่างกันไป บางตัวเน้นที่การเก็บ รวบรวม ในขณะที่บางตัวเสนอการเข้าถึงระยะไกลที่อนุญาตให้เรียกใช้มัลแวร์เพิ่มเติมได้ จากนั้น ข้อมูลที่ถูกขโมยอาจถูกนำไปใช้ใน แคมเปญ สเปียร์ฟิชชิ่งสำหรับการโจมตีทางไซเบอร์อื่นๆ เช่น การติดตั้งแรนซัมแวร์หรือขายเพื่อผลกำไร^{[ 1 ]}

จำนวนข้อมูลบันทึก ที่ถูกขโมย และนำไปขายในตลาดรัสเซีย ซึ่งเป็นฟอรัมอาชญากรรมไซเบอร์เพิ่มขึ้นอย่างมีนัยสำคัญตั้งแต่ปี 2022 จาก การวิจัยของ Kasperskyในช่วงกลางปี 2023 พบว่า 24% ของมัลแวร์ที่ให้บริการแบบออนไลน์เป็นมัลแวร์ขโมยข้อมูล

ภาพรวม

ในอาชญากรรมไซเบอร์การขโมยข้อมูลประจำตัวเป็นกลไกที่รู้จักกันดีซึ่งบุคคลที่ประสงค์ร้ายใช้ในการขโมยข้อมูลส่วนบุคคลเช่นชื่อผู้ใช้รหัสผ่านหรือคุกกี้เพื่อเข้าถึงบัญชีออนไลน์และคอมพิวเตอร์ของเหยื่อโดยไม่ได้รับอนุญาต อาชญากรรมนี้มักเกิดขึ้นในสี่ขั้นตอน โดยขั้นตอนแรกคือการได้มาซึ่งข้อมูลประจำตัวที่ถูกขโมย อินโฟสตีลเลอร์เป็นมัลแวร์ ประเภทหนึ่ง ที่ออกแบบมาสำหรับขั้นตอนเริ่มต้นนี้ โดยปกติแล้วจะประกอบด้วยสองส่วนที่แตกต่างกัน คือ เฟรมเวิร์กบอทและเซิร์ฟเวอร์คำสั่งและควบคุมซึ่งมักเรียกว่าแผงการจัดการหรืออินเทอร์เฟซ^{[ 2 ]}

เฟรมเวิร์กบอทประกอบด้วยตัวสร้างที่อนุญาตให้ผู้โจมตีสามารถกำหนดค่าวิธีการทำงานของอินโฟสตีลเลอร์บนคอมพิวเตอร์ของผู้ใช้และประเภทของข้อมูลที่จะถูกขโมย อินเทอร์เฟซการจัดการซึ่งมักเขียนด้วยภาษาการพัฒนาเว็บ แบบดั้งเดิม เช่น PHP , HTMLและJavaScript [ ³^]มักจะถูกโฮสต์บนโครงสร้างพื้นฐานคลาวด์เชิงพาณิชย์^[ 4 ] ^อิน^เท^อร์เฟซการจัดการทำหน้าที่หลักเป็นเว็บเซิร์ฟเวอร์ที่อินโฟสตีลเลอร์ส่งข้อมูลที่เป็นความลับ อินเทอร์เฟซยังให้ข้อมูลแก่ผู้โจมตีเกี่ยวกับสถานะของอินโฟสตีลเลอร์ที่ถูกใช้งานและอนุญาตให้ผู้โจมตีควบคุมพฤติกรรมของพวกมัน^[³^]

การแจกจ่ายและการใช้งาน

อินโฟสตีลเลอร์มักถูกเผยแพร่ผ่านโมเดลมัลแวร์ในรูปแบบบริการ (MaaS) ซึ่งทำให้บุคคลที่มีความรู้ทางเทคนิคแตกต่างกันสามารถใช้งานโปรแกรมที่เป็นอันตรายเหล่านี้ได้ ภายใต้โมเดลนี้ โดยทั่วไปแล้วจะมีกลุ่มที่แตกต่างกันสามกลุ่ม ได้แก่ นักพัฒนา ผู้ให้บริการมัลแวร์ และผู้ดำเนินการ นักพัฒนาซึ่งมีทักษะทางเทคนิคมากที่สุดจะเป็นผู้เขียนโค้ดอินโฟสตีลเลอร์ ผู้ให้บริการมัลแวร์จะซื้อใบอนุญาตสำหรับมัลแวร์และนำเสนอเป็นบริการให้กับอาชญากรไซเบอร์รายอื่น ผู้ดำเนินการ ซึ่งอาจเป็นนักพัฒนาหรือผู้ให้บริการเองก็ได้ ขึ้นอยู่กับระดับทักษะของพวกเขา จะใช้บริการเหล่านี้เพื่อทำการขโมยข้อมูลประจำตัว^{[ 2 ]}

เมื่อซื้อมัลแวร์แล้ว มัลแวร์นั้นจะถูกแพร่กระจายไปยังเครื่องเป้าหมายโดยใช้เทคนิควิศวกรรมสังคม ต่างๆ การฟิชชิ่งรวมถึง แคมเปญ สเปียร์ฟิชชิ่งที่กำหนดเป้าหมายเหยื่อเฉพาะเจาะจง มักถูกนำมาใช้ อินโฟสตีลเลอร์มักถูกฝังอยู่ในไฟล์แนบอีเมลหรือลิงก์ที่เป็นอันตรายซึ่งเชื่อมโยงไปยังเว็บไซต์ที่ทำการดาวน์โหลดแบบไดรฟ์บาย [ ^{3 ] [}^{5 ] นอกจาก} นี้ มักจะถูกรวมไว้กับ ส่วนขยายเบราว์เซอร์ที่ถูกบุกรุกหรือเป็นอันตราย แพ็ก เกจโกงเกมที่ติดเชื้อและซอฟต์แวร์ละเมิดลิขสิทธิ์หรือซอฟต์แวร์ที่ถูกบุกรุกอื่นๆ^{[ 5 ]}หลังจากที่เหยื่อดาวน์โหลดและเรียกใช้สตีลเลอร์แล้ว มันจะสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ ของผู้โจมตี ทำให้ผู้โจมตีสามารถขโมยข้อมูลจากคอมพิวเตอร์ของผู้ใช้ได้ ในขณะที่อินโฟสตีลเลอร์ส่วนใหญ่กำหนดเป้าหมายไปที่ข้อมูลประจำตัวเป็นหลัก แต่บางตัวก็ช่วยให้ผู้โจมตีสามารถแนะนำและเรียกใช้มัลแวร์อื่นๆ เช่นแรนซัมแวร์ จากระยะไกล บนคอมพิวเตอร์ของเหยื่อ ได้ ^{[ 2 ]}^{[ 6 ]}

ข้อมูลประจำตัวที่ได้มาจากการโจมตีของอินโฟสตีลเลอร์มักถูกเผยแพร่ในรูปแบบบันทึกหรือดัมพ์ข้อมูลประจำตัว ซึ่งโดยทั่วไปจะแชร์บนเว็บไซต์วางข้อมูล เช่นPastebinซึ่งอาชญากรไซเบอร์อาจเสนอตัวอย่างฟรี หรือขายเป็นจำนวนมากในฟอรัมแฮ็กเกอร์ใต้ดิน โดยมักมีราคาต่ำเพียง 10 ดอลลาร์สหรัฐ^{[ 7 ]}^{[ 8 ]}ผู้ซื้อข้อมูลประจำตัวที่ถูกขโมยเหล่านี้มักจะเข้าสู่ระบบเพื่อประเมินมูลค่า โดยเฉพาะอย่างยิ่งมองหาข้อมูลประจำตัวที่เกี่ยวข้องกับบริการทางการเงินหรือเชื่อมโยงกับข้อมูลประจำตัวอื่น ๆ ที่มีรูปแบบคล้ายกัน เนื่องจากข้อมูลเหล่านี้มีมูลค่าสูงเป็นพิเศษ^{[ 9 ]}ข้อมูลประจำตัวที่มีมูลค่าสูงมักถูกขายให้กับอาชญากรไซเบอร์รายอื่นในราคาที่สูงขึ้น^{[ 10 ]}ข้อมูลประจำตัวเหล่านี้อาจถูกนำไปใช้ในการก่ออาชญากรรมต่างๆ รวมถึง^การฉ้อโกงทางการเงิน [ ¹¹^]การรวมข้อมูลประจำตัวเข้ากับเครือข่ายซอมบี้และการดำเนินการเพิ่มชื่อเสียง^[¹¹^]หรือใช้เป็นจุดเริ่มต้นสำหรับการโจมตีที่ซับซ้อนยิ่งขึ้น เช่น การหลอกลวงธุรกิจ การแจกจ่ายแรนซัมแวร์ หรือการดำเนินการจารกรรมที่ได้รับการสนับสนุนจากรัฐ^[⁷^]^[¹²^]นอกจากนี้ อาชญากรไซเบอร์บางรายยังใช้ข้อมูลประจำตัวที่ถูกขโมยไปสำหรับ การโจมตี ทางวิศวกรรมสังคมโดยปลอมตัวเป็นเจ้าของเดิมเพื่ออ้างว่าตนเองตกเป็นเหยื่อของอาชญากรรมและเรียกเงินจากผู้ติดต่อของเหยื่อ^[¹³^]^[¹⁴^]ผู้ซื้อข้อมูลประจำตัวที่ถูกขโมยเหล่านี้จำนวนมากใช้มาตรการป้องกันเพื่อรักษาการเข้าถึงไว้ได้นานขึ้น เช่น การเปลี่ยนรหัสผ่านและการใช้เครือข่าย Torเพื่อปกปิดตำแหน่งของตน ซึ่งช่วยหลีกเลี่ยงการตรวจจับโดยบริการที่อาจระบุและปิดข้อมูลประจำตัวที่ถูกขโมยไปได้^[¹³^]^[¹⁴^]

คุณสมบัติ

หน้าที่หลักของอินโฟสตีลเลอร์คือการดึงข้อมูลที่ละเอียดอ่อนเกี่ยวกับเหยื่อไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ ของผู้โจมตี ประเภทของข้อมูลที่ถูกดึงออกมาจะขึ้นอยู่กับคุณสมบัติการขโมยข้อมูลที่ผู้ดำเนินการเปิดใช้งานและอินโฟสตีลเลอร์เวอร์ชันเฉพาะที่ใช้^{[ 15 ]}อย่างไรก็ตาม อินโฟสตีลเลอร์ส่วนใหญ่มีฟังก์ชันในการรวบรวมข้อมูลที่หลากหลายเกี่ยวกับระบบปฏิบัติการโฮสต์ รวมถึงการตั้งค่าระบบและโปรไฟล์ผู้ใช้ อินโฟสตีลเลอร์ขั้นสูงบางตัวมีความสามารถในการแทรกมัลแวร์รอง เช่นโทรจันการเข้าถึงระยะไกลและแรนซัมแวร์^{[ 3 ]}

ในปี 2552 นักวิจัยจาก ทีม Symantec Rapid Response ได้เผยแพร่การวิเคราะห์ทางเทคนิคของ มัลแวร์ขโมยข้อมูล Zeusซึ่งเป็นหนึ่งในมัลแวร์ขโมยข้อมูลตัวแรกๆ ที่ถูกสร้างขึ้น^{[ 16 ]}พวกเขาพบว่ามัลแวร์จะขโมยข้อมูลทั้งหมดที่จัดเก็บไว้ในบริการจัดเก็บข้อมูลที่ได้รับการป้องกันของคอมพิวเตอร์โดยอัตโนมัติ (ซึ่งโดยปกติแล้วInternet Explorer จะใช้ ในการจัดเก็บรหัสผ่าน) และพยายามดักจับรหัสผ่านใดๆ ที่ส่งไปยังคอมพิวเตอร์โดยใช้ โปรโตคอล POP3และFTPนอกจากนี้ มัลแวร์ยังอนุญาตให้นักวิจัยกำหนดชุดไฟล์การกำหนดค่าเพื่อระบุรายการการแทรกเว็บที่จะดำเนินการบนคอมพิวเตอร์ของผู้ใช้ รวมถึงไฟล์การกำหนดค่าอีกไฟล์หนึ่งที่ควบคุมURL เว็บ ที่มัลแวร์จะตรวจสอบ การกำหนดค่าอีกแบบหนึ่งยังอนุญาตให้นักวิจัยกำหนดชุดกฎที่สามารถใช้เพื่อทดสอบว่า คำขอ HTTP เพิ่มเติม มีรหัสผ่านหรือข้อมูลที่ละเอียดอ่อนอื่นๆ หรือไม่^{[ 17 ]}

เมื่อไม่นานมานี้ ในปี 2020 นักวิจัยจากมหาวิทยาลัยเทคโนโลยี Eindhovenได้ทำการศึกษาวิเคราะห์ข้อมูลที่มีให้ขายในตลาดมืด ใต้ดิน impaas.ru ซึ่งเป็นส่วนหนึ่งของการศึกษา พวกเขาสามารถจำลองการทำงานของโปรแกรมขโมยข้อมูล AZORult เวอร์ชันหนึ่งได้ ในบรรดาฟังก์ชันที่นักวิจัยค้นพบนั้น มีตัวสร้างที่อนุญาตให้ผู้ดำเนินการกำหนดประเภทของข้อมูลที่จะถูกขโมย นักวิจัยยังพบหลักฐานของปลั๊กอินที่ขโมยประวัติการท่องเว็บ ของผู้ใช้ กลไก ที่ปรับแต่งได้ โดยใช้ regex ที่อนุญาตให้ผู้โจมตีดึงไฟล์ใดๆ จากคอมพิวเตอร์ของผู้ใช้ โมดูลดึงรหัสผ่านเบราว์เซอร์ โมดูลดึง ประวัติ Skypeและโมดูลค้นหาและดึงไฟล์กระเป๋าเงินคริปโตเคอร์เรนซี^[¹⁵^]

นักวิจัยยังพบว่าข้อมูลที่ถูกขโมยบ่อยที่สุดโดยใช้โปรแกรมขโมยข้อมูล AZORult และขายในตลาดมืดนั้นสามารถแบ่งออกเป็น 3 ประเภทหลัก ได้แก่ ลายนิ้วมือ คุกกี้ และทรัพยากรลายนิ้วมือประกอบด้วยตัวระบุที่สร้างขึ้นโดยการตรวจสอบคุณลักษณะต่างๆ ที่เบราว์เซอร์มีให้ ลายนิ้วมือเหล่านี้ไม่ได้เชื่อมโยงกับบริการเฉพาะ แต่ถือว่าเป็นตัวระบุที่ไม่ซ้ำกันอย่างแม่นยำสำหรับเบราว์เซอร์ของผู้ใช้คุกกี้ช่วยให้ผู้ซื้อสามารถเข้าควบคุมเซสชันเบราว์เซอร์ของเหยื่อได้โดยการแทรกเข้าไปในสภาพแวดล้อมของเบราว์เซอร์ ทรัพยากรหมายถึงไฟล์ที่เกี่ยวข้องกับเบราว์เซอร์ที่พบในระบบปฏิบัติการของผู้ใช้ เช่น ไฟล์จัดเก็บรหัสผ่าน^{[ 18 ]}

เศรษฐศาสตร์และผลกระทบ

การตั้งค่าการดำเนินการขโมยข้อมูลกลายเป็นเรื่องที่เข้าถึงได้ง่ายขึ้นเรื่อยๆ เนื่องจากการแพร่หลายขององค์กรที่ให้บริการขโมยข้อมูล ทำให้ลดอุปสรรคทางการเงินและทางเทคนิคลงอย่างมาก ทำให้แม้แต่อาชญากรไซเบอร์ที่ไม่ซับซ้อนก็สามารถมีส่วนร่วมในกิจกรรมดังกล่าวได้^{[ 3 ]}ในบทความปี 2023 นักวิจัยจากสถาบันเทคโนโลยีจอร์เจียตั้งข้อสังเกตว่าตลาดการขโมยข้อมูลแบบโฮสต์นั้นเติบโตเต็มที่และมีการแข่งขันสูงมาก โดยผู้ให้บริการบางรายเสนอการตั้งค่าการขโมยข้อมูลในราคาต่ำเพียง 12 ดอลลาร์^{[ 19 ]}สำหรับผู้ให้บริการที่ดำเนินการขโมยข้อมูลเหล่านี้ นักวิจัยประเมินว่าผู้ดำเนินการขโมยข้อมูลทั่วไปจะมีค่าใช้จ่ายเพียงครั้งเดียวเท่านั้น ได้แก่ ใบอนุญาตในการใช้ขโมยข้อมูล ซึ่งได้รับจากผู้พัฒนาซอฟต์แวร์มัลแวร์ และค่าธรรมเนียมการลงทะเบียนโดเมนที่ใช้ในการโฮสต์เซิร์ฟเวอร์ควบคุมและสั่งการค่าใช้จ่ายหลักที่เกิดขึ้นอย่างต่อเนื่องของผู้ดำเนินการเหล่านี้คือค่าใช้จ่ายที่เกี่ยวข้องกับการโฮสต์เซิร์ฟเวอร์ จากการคำนวณเหล่านี้ นักวิจัยสรุปว่าโมเดลธุรกิจขโมยเป็นบริการนั้นมีกำไรสูงมาก โดยผู้ประกอบการหลายรายมีอัตรากำไรมากกว่า 90% โดยมีรายได้สูงถึงหลายพันดอลลาร์^{[ 20 ]}

เนื่องจากความสามารถในการทำกำไรและการเข้าถึงที่สูงมาก จำนวนเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับอินโฟสตีลเลอร์จึงเพิ่มขึ้น^{[ 7 ]}การเปลี่ยนแปลงหลังการระบาดของ COVID-19 ไปสู่การทำงาน ระยะไกลและแบบไฮบริดซึ่งบริษัทต่างๆ ให้พนักงานเข้าถึงบริการขององค์กรบนเครื่องคอมพิวเตอร์ที่บ้าน ได้รับการอ้างถึงว่าเป็นหนึ่งในเหตุผลที่อยู่เบื้องหลังการเพิ่มขึ้นของประสิทธิภาพของอินโฟสตีลเลอร์^{[ 7 ]}^{[ 21 ]}ในปี 2023 การวิจัยโดยSecureworksพบว่าจำนวนบันทึกอินโฟสตีลเลอร์ หรือข้อมูลที่ถูกขโมยออกจากคอมพิวเตอร์แต่ละเครื่อง เพิ่มขึ้นจาก 2 ล้านเป็น 5 ล้านบันทึก ตั้งแต่เดือนมิถุนายน 2022 ถึงเดือนกุมภาพันธ์ 2023 ในตลาดรัสเซีย ซึ่งเป็นฟอรัมไซเบอร์ใต้ดินที่ใหญ่ที่สุด^{[ 21 ]}จาก การวิจัยของ Kasperskyในช่วงกลางปี 2023 พบว่า 24% ของมัลแวร์ที่นำเสนอเป็นบริการคืออินโฟสตีลเลอร์^{[ 22 ]}ในปี 2024 มีการใช้โปรแกรมขโมยข้อมูลเพื่อขโมยข้อมูลประจำตัว 2.1 พันล้านรายการ ซึ่งคิดเป็นกว่า 60% ของข้อมูลประจำตัวทั้งหมด 3.2 พันล้านรายการที่ถูกขโมยจากองค์กรต่างๆ โปรแกรมขโมยข้อมูลถูกใช้งานอย่างแพร่หลายเนื่องจากมีต้นทุนต่ำ โดยมีต้นทุนเฉลี่ย 200 ดอลลาร์ต่อเดือนในปี 2024 ^{[ 23 ]} ในเดือนกุมภาพันธ์ 2025 ฮัดสัน ร็อครายงานว่าโปรแกรมขโมยข้อมูลได้บุกรุกบัญชีอีเมลและข้อมูลประจำตัวในหน่วยงานรัฐบาลและกองทัพสหรัฐฯ หลายแห่ง รวมถึง FBI ด้วย^{[ 24 ]}

[ 1 ]

[ 2 ]

3

[

5 ] นอกจาก

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

การ

[

[

[

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

อินโฟสตีลเลอร์

ภาพรวม

การแจกจ่ายและการใช้งาน

คุณสมบัติ

เศรษฐศาสตร์และผลกระทบ

ข้อมูลสำคัญจากบทความ