ในช่วงเวลา 4 ถึง 5 เดือนที่ผ่านมามูลค่าของสกุลเงินคริปโตต่าง ๆ มีมูลค่าสูงมากขึ้นเป็นประวัติการณ์ ทำให้มัลแวร์ขุดเงินคริปโตกลับมาระบาดอีกครั้ง

ดร.ชัยพร เขมะภาตะพันธ์ คณบดีวิทยาลัยนวัตกรรมด้านเทคโนโลยีและวิศวกรรมศาสตร์ (CITE) และผอ.หลักสูตรปริญญาโทวิศวกรรมคอมพิวเตอร์ มหาวิทยาลัยธุรกิจบัณฑิตย์(มธบ.)หรือ DPU เปิดเผยว่า โดยปกติวิธีการหากำไรจากสกุลเงินคริปโตหลักๆ ทำได้ 2 วิธี คือ การเทรดและการขุด ซึ่งการขุดนั้นจำเป็นต้องมีการลงทุนอุปกรณ์และมีภาระค่าไฟฟ้าที่ต้องจ่ายเป็นจำนวนมาก ดังนั้นเพื่อเป็นการประหยัดค่าใช้จ่ายในส่วนดังกล่าว จึงมีแฮกเกอร์ที่ต้องการขุดเหรียญคริปโต โดยวิธีการแอบฝังมัลแวร์ไว้ที่คอมพิวเตอร์ที่เป็นเว็บเซิร์ฟเวอร์ต่าง ๆ ทำให้ผู้ที่เปิดหน้าเว็บไซต์ของเว็บเซิร์ฟเวอร์เหล่านี้ทำหน้าที่ขุดเงินคริปโตแทนโดยที่ไม่ได้ยินยอมหรือไม่รู้ตัว ซึ่งวิธีการลักษณะนี้จะเรียกว่าเป็นการทำคริปโตแจ๊คกิ้ง (Cryptojacking)

ในอดีตเคยมีบริการขุดเงินคริปโตสกุล Monero ผ่านเว็บไซต์ Coinhive โดยให้เว็บไซต์ทั้งหลายฝังโค้ดโปรแกรมที่เว็บของตนเองแลกกับเงินคริปโต แต่ Coinhive ได้ปิดตัวไปในปี 2018 เนื่องจากการตกต่ำของเงินคริปโต แต่การขุดเงินคริปโตผ่านเว็บก็ไม่ได้หมดไป

เคยพบว่ามีการทำคริปโตแจ็คกิ้งครั้งแรกประมาณปี 2018 จากนั้นช่วงปลายปี 2020 พบเว็บไซต์ติดมัลแวร์ประเภทคริปโตแจ็คกิ้งนี้มากขึ้นกว่า 200% เมื่อเทียบกับปี 2019 โดยเว็บไซต์ที่เป็นเป้าหมายหลักของเหล่าแฮกเกอร์ ได้แก่ เว็บไซต์ที่มีผู้เข้าใช้งานสม่ำเสมอหรือมีผู้เปิดอ่านจำนวนมาก รวมถึงเว็บไซต์ที่มีการเปิดหน้าเว็บทิ้งไว้หรือเปิดใช้งานนาน อาทิ เว็บ portal เว็บดูหนังหรือฟังเพลง รวมทั้งเว็บขององค์กรหรือหน่วยงานขนาดใหญ่ เป็นต้น

ทั้งนี้จากการสำรวจเบื้องต้นพบว่าเว็บหลายแห่งของไทยที่เป็นที่นิยม มีการติดมัลแวร์ประเภทนี้หลายแห่ง ทั้งนี้ก็อาจเป็นไปได้ที่เว็บเซิร์ฟเวอร์อาจถูกแฮคหรือโปรแกรมเมอร์ประมาทเองหรือจงใจฝังโค๊ดโปรแกรมไว้ในเว็บไซต์ของตนเอง เพื่อให้คอมพิวเตอร์ของผู้ใช้งานทำงานขุดเงินคริปโต โดยให้ผู้ใช้งานที่เข้าเปิดเว็บดังกล่าวเสียค่าบริการด้วยการช่วยขุดเงินคริปโตแทน อย่างไรก็ตามจากข้อมูลงานวิจัยระบุว่าหากมีผู้ใช้งานเปิดหน้าเว็บที่ติดมัลแวร์ดังกล่าวพร้อมกัน 1,000 หน้าจะเทียบเท่ากับเครื่องขุดเงินที่ใช้การ์ดจอแรง ๆ จำนวน 1 เครื่องเลยทีเดียว

สำหรับวิธีการทำคริปโตแจ็คกิ้ง คือ การฝังโค๊ดโปรแกรมจำพวกไคลเอนต์สคริปต์เช่น Javascript ไว้ในโค้ดของโปรแกรมของเว็บไซต์ ซึ่งวิธีการฝังมีตั้งแต่การเจาะผ่านระบบเข้าไปที่เครื่องเซิร์ฟเวอร์แล้วนำโค้ดโปรแกรมขุดเงินคริปโตไปใส่ไว้ในโค้ดโปรแกรมของเว็บนั้นโดยตรง หรือการนำโค้ดโปรแกรมที่ใช้เรียกโปรแกรมขุดเงินคริปโต ลงไว้ในไลบรารีที่เปิดให้ใช้งานฟรี ส่วนใหญ่เผยแพร่ไว้บนอินเทอร์เน็ตหรือโลกออนไลน์ เช่น Git เป็นต้น

“อย่างไรก็ตามเนื่องจากเว็บเซิร์ฟเวอร์หลายแห่งมักจะมีระบบป้องกันที่ดีทำให้แฮกเกอร์เจาะผ่านระบบเข้าไปได้ยาก ดังนั้นจึงพบว่าลักษณะของมัลแวร์ที่เว็บไซต์หลายแห่งติดมาจากผู้พัฒนาเว็บหรือโปรแกรมเมอร์ที่ไม่ค่อยมีประสบการณ์ และเขียนโค้ดโปรแกรมเว็บโดยมีโค้ดโปรแกรมบางส่วนที่นำโค้ดที่ถูกเผยแพร่บนอินเทอร์เน็ตมาใช้งานโดยมักไม่มีการตรวจสอบเพียงพอ”

ดร.ชัยพร กล่าวด้วยว่า ในอดีตมัลแวร์ประเภทนี้จะทำงานโดยจะขุดเงินคริปโตให้กับแฮกเกอร์โดยพยายามใช้ทรัพยากรเครื่องคอมพิวเตอร์หรือโทรศัพท์มือถือของผู้ใช้งานเกือบทั้งหมด มัลแวร์ที่ทำงานเช่นนี้จะทำให้เครื่องผู้ใช้งานหยุดทำงานลงในเวลาอันรวดเร็ว ดังนั้นแฮคเกอร์จึงพัฒนาวิธีการใหม่โดยกำหนดให้มัลแวร์ทำงานโดยใช้ซีพียูน้อยลงและควบคุมจำนวนเทรด ทำให้ผู้ใช้งานไม่ค่อยรู้ตัว

สำหรับผลกระทบของผู้ใช้งานที่เปิดเว็บไซต์ที่ติดมัลแวร์ คือ เครื่องคอมพิวเตอร์หรือโทรศัพท์มือถือของผู้ใช้งานจะทำงานช้าลง จนบางครั้งถึงกับทำให้เครื่องเกิดอาการค้าง สังเกตได้จากหลังการเข้าหน้าเว็บไซต์แล้วเครื่องเริ่มมีอาการหน่วง พัดลมซีพียูเริ่มทำงาน หรือแบตเตอรี่หมดลงอย่างรวดเร็ว ดังนั้นผู้ใช้งานที่ไม่ทันระวังตัวอาจต้องคอยสังเกตการทำงานของคอมพิวเตอร์หรือโทรศัพท์มือถือเมื่อเข้าไปเปิดเว็บไซต์ต่าง ๆ หากเครื่องเริ่มมีอาการดังกล่าวต้องรีบตรวจสอบทันที