มัลแวร์ใหม่กำลังแฮกคอมพิวเตอร์เพื่อขุด Monero (XMR) อย่างลับๆ

เขียนและแก้ไขโดย
Mohammad Shahid

18 กรกฎาคม พ.ศ. 2568 02:00 ICT

ไวรัสใหม่ชื่อ H2Miner ใช้คอมพิวเตอร์ของผู้คนขุด Monero (XMR) โดยไม่ได้รับอนุญาต
มันแพร่กระจายผ่านบั๊กซอฟต์แวร์ ปิดการใช้งานแอนตี้ไวรัส และติดตั้งสคริปต์ซ่อนเพื่อกลับมาอีกแม้จะถูกลบแล้ว
บางเวอร์ชันยังล็อกระบบด้วยแรนซัมแวร์ ทำให้คอมพิวเตอร์ใช้งานไม่ได้จนกว่าจะได้รับการแก้ไข

บ็อตเน็ตที่อันตรายชื่อ H2Miner ได้กลับมาอีกครั้ง มันเข้ายึดคอมพิวเตอร์เพื่อขุด Monero (XMR) อย่างลับๆ และในบางกรณีอาจปล่อยแรนซัมแวร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์กล่าวว่า มัลแวร์นี้ได้ขยายตัวตั้งแต่ปรากฏครั้งแรกในปี 2019 เวอร์ชันใหม่ตอนนี้มุ่งเป้าไปที่เซิร์ฟเวอร์ Linux เดสก์ท็อป Windows และคอนเทนเนอร์คลาวด์

ไวรัสเงียบอาจใช้คอมพิวเตอร์ของคุณขุดคริปโต

Sponsored

ตามข้อมูลจากบริษัทความปลอดภัยทางไซเบอร์ Fortinet ผู้โจมตีเข้าถึงโดยใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่รู้จัก ซึ่งรวมถึง Log4Shell และ Apache ActiveMQ ที่หลายระบบยังคงใช้อยู่

เมื่อเข้ามาแล้ว ไวรัสจะติดตั้งเครื่องมือที่เรียกว่า XMRig ซึ่งเป็น เครื่องมือขุดที่เปิดเผยซอร์สโค้ดอย่างถูกต้อง

แต่แทนที่จะขออนุญาต มันจะทำงานเบื้องหลังโดยใช้ พลังประมวลผลของคอมพิวเตอร์เพื่อหา Monero ให้กับแฮกเกอร์

นอกจากนี้ H2Miner ยังใช้สคริปต์อัจฉริยะเพื่อปิดการใช้งานเครื่องมือป้องกันไวรัส และยัง ฆ่าเครื่องมือขุดอื่นๆ ที่อาจกำลังทำงานอยู่ในระบบ

จากนั้นมันจะลบทุกหลักฐานของการกระทำของมัน ใน Linux มันจะติดตั้ง cron job ที่ดาวน์โหลดมัลแวร์ใหม่ทุกๆ 10 นาที

ใน Windows มันจะตั้งค่าการทำงานที่เงียบๆ ทุกๆ 15 นาที

Sponsored

ข้อความจากแฮกเกอร์หลังจากเข้าควบคุมระบบของผู้ใช้ ที่มา: Fortinet

การบิดเบือนของแรนซัมแวร์เพิ่มความเสียหาย

ไวรัสไม่ได้หยุดแค่ การขุดคริปโต เพย์โหลดใหม่ที่เรียกว่า Lcrypt0rx ยังสามารถ ล็อกคอมพิวเตอร์ของคุณ

Sponsored

มันใช้วิธีการที่ง่ายแต่ทำลายล้างในการเขียนทับ Master Boot Record ซึ่งเป็นส่วนสำคัญของคอมพิวเตอร์ที่ควบคุมการเริ่มต้นระบบ ซึ่งอาจทำให้ระบบไม่สามารถบูตได้อย่างถูกต้อง

แรนซัมแวร์ยังเพิ่มการตั้งค่าระบบปลอม เพื่อซ่อนตัวเองและสร้างความคงทน

แคมเปญนี้ใช้ประโยชน์จาก เซิร์ฟเวอร์คลาวด์ราคาถูก และบริการที่ตั้งค่าไม่ถูกต้อง เมื่อเครื่องติดเชื้อ มัลแวร์จะสแกนหาระบบอื่นๆ เพื่อแพร่เชื้อ โดยเฉพาะคอนเทนเนอร์ Docker และแพลตฟอร์มคลาวด์เช่น Alibaba Cloud

มันยังแพร่กระจายผ่าน USB drives และวนลูปผ่านกระบวนการแอนตี้ไวรัส ฆ่าพวกมันทีละตัว

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าการลบ H2Miner ต้องการ การทำความสะอาดอย่างลึกซึ้ง คุณต้องลบ cron jobs, scheduled tasks และ registry entries ที่เกี่ยวข้องทั้งหมด

หากแม้แต่สคริปต์ที่ซ่อนอยู่รอดชีวิตได้ บ็อตเน็ตสามารถติดตั้งตัวเองใหม่และ กลับมาขุด Monero อย่างลับๆ

Sponsored

สิ่งที่นักเทรดและผู้ใช้คริปโตควรรู้

การโจมตีนี้ไม่ได้มุ่งเป้าไปที่กระเป๋าเงินคริปโตโดยตรง แต่กลับ ขโมยพลังการประมวลผล เพื่อสร้าง Monero coins ใหม่ให้กับผู้โจมตี

ความเสี่ยงสูงโดยเฉพาะสำหรับ self-hosted nodes, cloud miners และบริการ VPS ที่ไม่มีการจัดการ

หากระบบของคุณร้อนหรือช้าลงอย่างไม่คาดคิด คุณอาจต้องตรวจสอบกระบวนการที่ผิดปกติเช่น sysupdate.exe หรือการเชื่อมต่อขาออกที่เกิดซ้ำ

คุณสมบัติความเป็นส่วนตัวของ Monero ทำให้มันน่าสนใจสำหรับผู้โจมตี แต่สำหรับผู้ใช้ ความเสี่ยงที่แท้จริงคือการสูญเสียการควบคุมอุปกรณ์ของคุณ และไม่รู้ตัวว่า สนับสนุนอาชญากรรมคริปโต

หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิดเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ ทั้งนี้เป็นไปตาม แนวทางของ Trust Project ของเรา และโปรดอ่าน ข้อกำหนดและเงื่อนไข, นโยบายความเป็นส่วนตัว และ ข้อจำกัดความรับผิดชอบ ของเรา