ท่ามกลางความคลั่งไคล้ในโมบายล์ เกมโปเกมอน โก ( Pokemon GO) คนร้ายเตรียมที่จะใช้ประโยชน์จา กความแพร่หลายของเกมดังกล่าวเพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ ( Ransomware ) โดยมัลแวร์ชนิดใหม่ที่ ตรวจพบ เมื่ อไม่นานมานี้ปลอมแปลงเป็นเกม Pokemon GO สำหรับ Windows
โดยเทรนด์ไมโครได้ตรวจพบมัลแวร์ ชนิดนี้มีชื่อว่า Ransom_POGOTEAR.A มีลักษณะคล้ายคลึงกับมัลแวร์เรี ยกค่าไถ่อื่นๆ อย่างไรก็ตาม หลังจากที่ ตรวจสอบอย่างละเอียด พบว่าผู้สร้างพัฒนาต่อยอดจาก Hidden Tear ซึ่งเป็นมัลแวร์เรียกค่าไถ่แบบโ อเพ่นซอร์สที่ถูกเผยแพร่เมื่ อเดือนสิงหาคม ปีที่แล้ว โดยมีจุดมุ่งหมายเพื่อให้ความรู้ แก่บุคคลทั่วไป
มัลแวร์เรียกค่าไถ่ Pokemon GO ได้รับการออกแบบให้สร้างบัญชีผู้ ใช้ที่เป็นช่องโหว่ภายใต้ชื่อ “Hack3r” ในระบบปฏิบัติการ Windows และถูกเพิ่มไปยังกลุ่มผู้ดูแลระ บบ ( Administrator) นอกจากนี้ ยังมีการปรับเปลี่ยนการลงทะเบีย น (registry) เพื่อซ่อนบัญชี Hack3r จากหน้าจอล็อกอินของ Windows และยังมีอีกฟีเจอร์ที่สร้างการใ ช้งานเครือข่ายร่วมกันบนคอมพิวเ ตอร์ของเหยื่อ เพื่อให้มัลแวร์เรียกค่าไถ่สามา รถแพร่กระจาย ด้วยการคัดลอกไฟล์มัลแวร์ไปยังไ ดรฟ์ทั้งหมด และเมื่อไฟล์มัลแวร์ถูกคัดลอกไป ยังไดรฟ์ที่ถอดออกได้ ก็จะสร้างไฟล์รันอัตโนมัติ ( Autorun) เพื่อให้มัลแวร์ทำงานทุกครั้งที่ มีใครบางคนเข้าถึงไดรฟ์ที่ถอดออ กได้ นอกจากนี้ไฟล์มัลแวร์ยังถูกคัดล อกไปยังส่วนรูท ( Root) ของไดรฟ์แบบติดตั้งถาวรอื่นๆ วิธีนี้จะทำให้มัลแวร์เรียกค่าไ ถ่ Pokemon GO เริ่มทำงานเมื่อเหยื่อล็อกอิ นเข้าสู่ Windows
นักวิจัยระบุว่า มีตัวบ่งชี้มากมายที่ทำให้ ทราบว่ามัลแวร์เรียกค่าไถ่ดั งกล่าวยังคงอยู่ระหว่างการพัฒนา เช่น มีการใช้คีย์เข้ารหัส AES แบบคงที่ “123vivalalgerie” นอกจากนี้ เซิร์ฟเวอร์สั่งการและควบคุม (C&C) ใช้ไอพีแอดเดรสแบบส่วนตัว ซึ่งนั่นหมายความว่ามัลแวร์ไม่ส ามารถเชื่อมต่อผ่านอินเทอร์เน็ต ได้
จากภาษาที่ใช้ในข้อความเรียกค่า ไถ่ เชื่อว่ามัลแวร์ Pokemon GO น่าจะพุ่งเป้าหมายไปที่ผู้ใช้ที่ พูดภาษาอาหรับ โดยหน้าจอเรียกค่าไถ่ที่ แนบมาเป็นรูปตัวการ์ตูนปิกาจู ( Pikachu) นอกจากนั้น ไฟล์สกรีนเซฟเวอร์ยังประกอบด้วย รูปภาพที่มีข้อความว่า “Sans Titre” ซึ่งเป็นภาษาฝรั่งเศสที่ตรงกั บคำว่า “Untitled” นับเป็นเบาะแสหนึ่งที่บ่งบอกถึง แหล่งที่มาของผู้พัฒนา
มัลแวร์เรียกค่าไถ่ Hidden Tear ไม่ใช่สิ่งใหม่ โดยเมื่อเดือนมกราคม 2558 เทรนด์ไมโครได้ตรวจพบเว็บไซต์ที่ ถูกแฮ็กในประเทศปารากวัย ซึ่งแพร่กระจายมัลแวร์เรียกค่าไ ถ่ที่มีชื่อว่า RANSOM_CRYPTEAR.B ทั้งนี้ ข้อมูลวิเคราะห์ ชี้ว่า เว็บไซต์ดังกล่าวถูกเจาะระบบโดย แฮ็กเกอร์ชาวบราซิล และมัลแวร์เรียกค่าไถ่ดังกล่ าวถูกสร้างขึ้นโดยใช้โค้ด Hidden Tear ที่มีการดัดแปลง ก่อนหน้าที่จะมีการตรวจพบ เมื่อซอร์สโค้ดของ Hidden Tear ถูกเผยแพร่แก่สาธารณชนเพื่อจุดป ระสงค์ด้านการให้ความรู้ ผู้สร้างได้ระบุอย่างชัดเจนว่าไ ม่ควรนำเอา Hidden Tear ไปใช้เป็นมัลแวร์เรียกค่าไถ่ แต่ปรากฏว่า การค้นพบมัลแวร์ Ransom_CRYPTEAR.B และ Pokemon Go นี้แสดงให้เห็นว่า ถึงแม้จะมีเจตนาที่ดี แต่การเปิดเผยข้อมูลสำคัญในลักษ ณะที่ไม่เหมาะสมอาจก่อให้เกิดปั ญหาในบางสถานการณ์ดังเช่นที่กล่ าวมาแล้ว
เพื่อ หลีกเลี่ยงปัญหาจากมัลแวร์ เรียกค่าไถ่ ผู้ใช้ควรแบ็คอัพข้อมูลอย่างสม่ำ เสมอ และติดตั้งโซลูชั่นการรักษาความ ปลอดภัยที่ทันสมัย โซลูชั่นของเทรนด์ไมโคร สามารถปก ป้องผู้ใช้จากมัลแวร์เรียกค่ าไถ่ Pokemon Go ขณะที่เกมดังกล่าวได้รับการเปิ ดตัวในประเทศต่างๆ เพิ่มเติม ความคลั่งไคล้ในเกม Pokemon GO จะดึงดูดให้อาชญากรไซเบอร์พยายา มมองหาหนทางที่จะใช้ประโยชน์จาก เกมดังกล่าวนี้ ที่จริงแล้วลำพังเพียงแค่ในช่วง เดือนกรกฎาคม มีการตรวจพบ แอพ Pokemon Go จำนวนมากที่มีอันตราย ซึ่งหลอกล่อให้ผู้ใช้ดาวน์โหลดแ อพเข้าสู่อุปกรณ์ สถานการณ์ดังกล่าวนับเป็นเครื่อ งเตือนภัยว่าผู้ใช้ควร ระมัดระวั ง ภัยคุกคามที่อาจมาพร้อมกับเกมย อดนิยม