MoneroSwapper MoneroSwapper

ป้องกัน Cryptojacking มัลแวร์แอบขุด Monero บนเครื่อง 2026

MoneroSwapper · · 2 min read · 2 views

ป้องกัน Cryptojacking มัลแวร์แอบขุด Monero บนเครื่อง 2026

ในเดือนกุมภาพันธ์ 2026 ทีม ThaiCERT รายงานว่ามีองค์กรไทยกว่า 380 แห่งที่ตรวจพบทราฟฟิกเชื่อมต่อไปยังพูลขุด Monero โดยที่ผู้ดูแลระบบไม่เคยติดตั้งซอฟต์แวร์เหล่านั้น เหตุการณ์ส่วนใหญ่เริ่มจากเครื่องพนักงานเพียงเครื่องเดียวที่โหลดไฟล์ติดตั้งโปรแกรมเถื่อนจากเว็บแชร์ไฟล์ ก่อนจะแพร่กระจายไปยังเซิร์ฟเวอร์ในเครือข่ายเดียวกันภายในไม่กี่ชั่วโมง สิ่งที่ทำให้เรื่องนี้น่ากังวลคือ Cryptojacking ไม่ทำลายข้อมูล ไม่เรียกค่าไถ่ และไม่แสดงหน้าจอแจ้งเตือนแบบแรนซัมแวร์ทั่วไป มันแค่กินซีพียู ค่าไฟ และอายุการใช้งานฮาร์ดแวร์ของคุณเงียบ ๆ จนกว่าจะเจอหรือเครื่องพังเสียก่อน

บทความนี้เขียนขึ้นสำหรับผู้ใช้งานในประเทศไทย ไม่ว่าจะเป็นเจ้าของกิจการเอสเอ็มอี ผู้ดูแลระบบไอที นักพัฒนา หรือคนทั่วไปที่ใช้คอมพิวเตอร์และมือถือเป็นประจำ เราจะอธิบายว่าทำไมเหรียญ Monero (XMR) จึงเป็นเป้าหมายอันดับหนึ่งของกลุ่มแฮกเกอร์ที่ทำ Cryptojacking สัญญาณเตือนภัยมีอะไรบ้าง วิธีตรวจจับด้วยเครื่องมือฟรี ขั้นตอนการป้องกัน และจะต้องทำอย่างไรหากพบว่าเครื่องตัวเองโดนแล้ว ทั้งหมดอ้างอิงแนวทางจาก ThaiCERT, สพธอ. (ETDA), และมาตรฐานสากลของ CISA, ENISA ที่นำมาปรับให้เหมาะกับบริบทไทยปี 2026

Cryptojacking คืออะไรและทำไม Monero ถึงเป็นเหยื่ออันดับหนึ่ง

Cryptojacking คือการที่ผู้โจมตีใช้พลังประมวลผลของเครื่องเหยื่อขุดเหรียญคริปโตให้ตัวเองโดยที่เจ้าของเครื่องไม่รู้ตัวและไม่ได้ยินยอม รูปแบบที่พบบ่อยที่สุดในประเทศไทยและทั่วโลกขณะนี้คือการขุดเหรียญ Monero ผ่านอัลกอริทึม RandomX ซึ่งเป็นอัลกอริทึมที่ออกแบบมาให้ขุดได้ดีบนซีพียูทั่วไป ไม่ต้องใช้การ์ดจอเฉพาะทางอย่าง Bitcoin หรือ Ethereum สมัยก่อน นี่คือเหตุผลทางเทคนิคที่ทำให้เครื่องโน้ตบุ๊กของพนักงาน เซิร์ฟเวอร์ Linux ที่ไม่อัปเดต โฮสติ้งราคาถูก หรือแม้แต่กล่องอุปกรณ์ IoT ราคาหลักร้อยบาทกลายเป็นเป้าหมายของแฮกเกอร์ได้

  • ขุดได้ทุกซีพียู: RandomX ถูกออกแบบให้ทำงานเร็วบนซีพียูทั่วไป เครื่องพีซีบ้าน ๆ จึงสามารถสร้างผลตอบแทนให้ผู้โจมตีได้แม้จะน้อยต่อเครื่องก็ตาม แต่เมื่อรวมเครื่องเหยื่อหลักหมื่นเครื่องเข้าด้วยกัน ผลตอบแทนต่อเดือนของกลุ่มแฮกเกอร์อาจสูงถึงหลายแสนบาท
  • ตามรอยธุรกรรมไม่ได้: Monero ใช้ ring signature, stealth address และ RingCT ทำให้นักวิเคราะห์บล็อกเชนหรือเจ้าหน้าที่ตำรวจไซเบอร์ไม่สามารถระบุได้ว่าใครรับเงินที่ขุดได้ บัญชีกระเป๋าและจำนวนยอดถูกซ่อนตามค่าเริ่มต้นของโปรโตคอล
  • มีตลาดให้แลกง่าย: ผู้โจมตีสามารถแลก XMR เป็นเงินสดผ่านบริการแลกเปลี่ยนแบบไม่ต้องลงทะเบียน หรือสวอปเป็น Bitcoin แล้วถอนตามช่องทางอื่น โดยไม่ทิ้งร่องรอยทางบัญชีให้ ก.ล.ต. ติดตาม
  • เน้นเงียบกว่าเร็ว: ต่างจากแรนซัมแวร์ที่ต้องรีบกระทำก่อนถูกตรวจจับ Cryptojacking ยิ่งเงียบยิ่งดี เพราะแฮกเกอร์ได้ผลตอบแทนต่อเนื่องตลอดเวลาที่เครื่องเหยื่อยังเปิดอยู่

ตามรายงานของ ENISA Threat Landscape 2025 พบว่า Cryptojacking มีสัดส่วนการโจมตีในกลุ่ม "Cryptocurrency-related threats" สูงถึง 73% โดยมัลแวร์ตระกูล XMRig, CoinLoader, Lemon_Duck และ TeamTNT ครองส่วนแบ่งหลัก ในขณะที่ ThaiCERT รายงานสถิติของไทยช่วงครึ่งหลังของปี 2025 ว่ามีกรณีร้องเรียนที่เกี่ยวกับเครื่องช้าผิดปกติและพบมัลแวร์ขุดเหรียญเพิ่มขึ้น 42% เทียบกับปีก่อนหน้า โดยเป้าหมายอันดับหนึ่งคือเซิร์ฟเวอร์ภาคการศึกษาและองค์กรปกครองส่วนท้องถิ่นที่งบประมาณดูแลระบบมีจำกัด

สัญญาณเตือนว่าเครื่องของคุณกำลังถูกแอบขุด Monero

ปัญหาใหญ่ของ Cryptojacking คือการตรวจจับยากกว่ามัลแวร์ประเภทอื่นมาก เพราะมันไม่เข้ารหัสไฟล์ ไม่ขโมยรหัสผ่าน และไม่ส่งข้อความเรียกค่าไถ่ ผู้ใช้ส่วนใหญ่จึงรู้ตัวก็ต่อเมื่อบิลค่าไฟพุ่งสูงขึ้นผิดปกติ หรือเครื่องร้อนจัดจนพัดลมหมุนเสียงดังตลอดเวลา อย่างไรก็ตามยังมีสัญญาณเทคนิคที่บ่งบอกได้ตั้งแต่เนิ่น ๆ หากคุณรู้ว่าจะมองหาอะไรและตรวจสอบที่ไหน

อาการที่ผู้ใช้ทั่วไปสังเกตได้

เครื่องค้างหรือทำงานช้าผิดปกติแม้เปิดโปรแกรมเพียงไม่กี่ตัว เปิดเครื่องแล้วพัดลมหมุนแรงตลอดเวลาแม้ไม่ได้ใช้งานหนัก แบตเตอรี่โน้ตบุ๊กหรือมือถือหมดเร็วผิดปกติทั้งที่ใช้งานเหมือนเดิม เสียงพัดลมในเคสพีซีดังขึ้นต่อเนื่อง เครื่องร้อนจัดที่ฝ่ามือสัมผัสได้ การเปิดเว็บบางหน้าทำให้แท็บค้างหรือเสียงพัดลมพุ่งทันที สัญญาณเหล่านี้พบบ่อยมากในเครื่องที่ติด Cryptojacking เพราะมัลแวร์จะดึงซีพียูไปใช้งานเต็มกำลังตลอดเวลา

อาการที่ผู้ดูแลระบบควรเฝ้าดู

ทราฟฟิกเครือข่ายขาออกไปยังโดเมนที่ลงท้ายด้วย .moneroocean.stream, .nanopool.org, .supportxmr.com, .minexmr.com หรือพอร์ตที่นิยมใช้ในการขุดเช่น 3333, 5555, 7777, 14444 หากเซิร์ฟเวอร์ของคุณไม่ได้ตั้งใจขุดเหรียญ การเห็นทราฟฟิกแบบ Stratum protocol ออกจากเครือข่ายภายในถือว่าผิดปกติ 100% นอกจากนี้ยังควรเฝ้าดูค่าโหลดของซีพียู (load average) ที่สูงผิดปกติในช่วงนอกเวลาทำงาน กระบวนการ (process) ชื่อแปลก ๆ ที่กินซีพียู เช่น kdevtmpfsi, kinsing, xmrig, sysupdate, networkmanager หรือชื่อที่พยายามเลียนแบบโปรเซสระบบจริง

เคล็ดลับจาก ThaiCERT ปี 2026: หากเซิร์ฟเวอร์ของคุณมีค่า CPU usage ค้างที่ 95-100% ตอนตี 2-5 ของทุกคืน ให้สันนิษฐานไว้ก่อนว่าโดน Cryptojacking จนกว่าจะพิสูจน์ได้เป็นอย่างอื่น

ช่องทางการโจมตียอดฮิตในประเทศไทย

การเข้าใจว่ามัลแวร์ขุด Monero เข้ามาทางไหนคือกุญแจสำคัญในการป้องกัน เพราะการลงแอนตี้ไวรัสอย่างเดียวไม่พอ จากการวิเคราะห์เหตุการณ์ที่ ThaiCERT ดูแลในช่วง 18 เดือนที่ผ่านมา เราพบว่าช่องทางหลักที่แฮกเกอร์ใช้ในการแอบฝัง XMRig และมัลแวร์ในตระกูลเดียวกันสามารถจัดกลุ่มได้ห้าช่องทางใหญ่ ดังนี้

1. ซอฟต์แวร์เถื่อนและ Crack

นี่เป็นช่องทางอันดับหนึ่งในประเทศไทย โปรแกรมตัดต่อวิดีโอ ซอฟต์แวร์ออกแบบกราฟิก เกมโหลด หรือแม้แต่ Microsoft Office เถื่อนที่แชร์ตามกลุ่มเฟซบุ๊กและเว็บโหลดไฟล์ มักถูกฝัง Coin Miner ไว้ในตัวติดตั้ง เมื่อผู้ใช้รัน setup.exe หรือ keygen.exe มัลแวร์จะติดตั้งตัวเองเป็น Windows Service ทำงานอัตโนมัติทุกครั้งที่เปิดเครื่อง บางตระกูลจะรอตรวจสอบว่าผู้ใช้ไม่ได้นั่งหน้าเครื่อง (idle) จึงเริ่มขุด เพื่อหลบสัญญาณการตรวจจับ

2. ส่วนขยายเบราว์เซอร์ปลอมและเว็บ Stream เถื่อน

Extension ของ Chrome และ Edge ที่อ้างว่าช่วยจดบันทึก เปลี่ยนธีม หรือดาวน์โหลดวิดีโอจากยูทูบ มักฝังสคริปต์ขุดเหรียญผ่านไลบรารีที่เคยฮิตอย่าง CoinIMP, deepMiner หรือเวอร์ชันใหม่ที่ใช้ WebAssembly สมัยใหม่ เว็บดูหนังเถื่อน เว็บอ่านการ์ตูนเถื่อน และเว็บพนันที่ไม่ผ่านการอนุญาตจาก ก.ล.ต. มักฝังสคริปต์ขุดในขณะที่ผู้ใช้เปิดหน้าเว็บค้างไว้ ปริมาณการขุดต่อผู้ใช้หนึ่งคนอาจน้อย แต่หากเว็บมีผู้เข้าชมหลักแสนต่อวัน ผลตอบแทนรวมก็มหาศาล

3. ช่องโหว่บนเซิร์ฟเวอร์ที่เปิดออกอินเทอร์เน็ต

เซิร์ฟเวอร์ Linux ที่รัน Redis โดยไม่ตั้งรหัสผ่าน เซิร์ฟเวอร์ Docker ที่เปิด API พอร์ต 2375 ทิ้งไว้โดยไม่จำกัด IP เว็บ WordPress ที่ไม่อัปเดตปลั๊กอิน เซิร์ฟเวอร์ Jenkins, GitLab, Atlassian Confluence รุ่นเก่า ทั้งหมดนี้คือเหยื่อชั้นดีของกลุ่มมัลแวร์ตระกูล Kinsing, TeamTNT, 8220 Gang ที่สแกนทั่วอินเทอร์เน็ตเพื่อหาเครื่องเหล่านี้ตลอด 24 ชั่วโมง เมื่อพบจะติดตั้ง XMRig ทันทีและเริ่มขุด Monero โดยจ่ายเข้ากระเป๋าที่ฝังไว้ในสคริปต์

4. คอนเทนเนอร์และ Cloud ที่ตั้งค่าผิด

หลายองค์กรในไทยเริ่มย้ายระบบขึ้นคลาวด์ AWS, Google Cloud หรือ Azure แต่ทีมไอทียังไม่คุ้นกับการตั้งค่า IAM ให้ถูกต้อง การมี Access Key หลุดบน GitHub Public โดยไม่ได้ตั้งใจหรือบน Stack Overflow คือเหตุการณ์ที่พบเห็นบ่อย แฮกเกอร์ที่ได้คีย์ไปจะรีบสปอน EC2 หรือ Compute Engine ที่มีซีพียูสูงสุดเท่าที่โควต้าจะอำนวยให้ในไม่กี่นาที แล้วเริ่มขุด Monero จนกว่าเจ้าของบัญชีจะได้รับใบเรียกเก็บเงินค่าคลาวด์หลักแสนบาทในตอนสิ้นเดือน

5. การฝังโค้ดในไลบรารีที่นักพัฒนาใช้

เหตุการณ์ Supply Chain Attack ที่ฝังมัลแวร์ขุดเหรียญใน NPM package, PyPI library หรือ Docker Image สาธารณะเพิ่มขึ้นต่อเนื่อง นักพัฒนาที่ทำ npm install หรือ pip install โดยไม่ตรวจสอบที่มา อาจดึงโค้ดที่ฝัง XMRig เข้ามาทำงานในเครื่องของตัวเองหรือเซิร์ฟเวอร์โปรดักชันโดยไม่รู้ตัว เหตุการณ์เด่นในปี 2025 คือกรณีแพ็คเกจปลอมเลียนชื่อไลบรารียอดนิยมหลายตัวที่มีคนโหลดรวมกันกว่า 200,000 ครั้งก่อนถูกถอด

ตารางเปรียบเทียบเครื่องมือป้องกัน Cryptojacking

เครื่องมือสำหรับป้องกันและตรวจจับมัลแวร์ขุดเหรียญในตลาดมีหลายระดับ ตั้งแต่ของฟรีที่ผู้ใช้ทั่วไปติดตั้งเองได้ ไปจนถึงระบบ EDR ระดับองค์กรที่ต้องมีทีมไอทีดูแล ต่อไปนี้คือการเปรียบเทียบทางเลือกที่ใช้งานได้จริงในประเทศไทยปี 2026

เครื่องมือเหมาะกับใครข้อดีข้อจำกัด
Microsoft Defender + Smart App Control ผู้ใช้ Windows 11 ทั่วไป ฟรี ติดมากับระบบ ตรวจจับ XMRig และตระกูล Coin Miner ได้ดีหลังอัปเดตปี 2025 ต้องเปิด Smart App Control ตั้งแต่ติดตั้ง Windows ใหม่ ปิดเปิดภายหลังไม่ได้
Malwarebytes Free ผู้ใช้ทั่วไปที่อยากสแกนเสริม สแกนตามต้องการ ตรวจจับ Browser-based mining ได้ดี ใช้คู่กับ Defender ได้ เวอร์ชันฟรีไม่มีโหมดป้องกันแบบเรียลไทม์
uBlock Origin + NoCoin filter คนที่อยากบล็อก browser mining บล็อกสคริปต์ขุดในเบราว์เซอร์อัตโนมัติ ฟรี และอัปเดตชุมชน ป้องกันเฉพาะการขุดผ่านเว็บ ไม่ป้องกันมัลแวร์บนระบบปฏิบัติการ
CrowdStrike Falcon Go / SentinelOne เอสเอ็มอีที่มีพนักงาน 20+ คน EDR ระดับองค์กร ตรวจจับพฤติกรรมและย้อนเหตุการณ์ได้ ค่าใช้จ่ายต่อเครื่องประมาณ 200-400 บาท/เดือน ต้องมีคนตั้งค่า
Wazuh + Suricata (ฟรี โอเพ่นซอร์ส) เซิร์ฟเวอร์และทีมไอทีที่มีทักษะ เห็นทราฟฟิก Stratom protocol และพฤติกรรม XMRig ได้ครบ ต้องตั้งค่าและดูแลเอง ใช้รีซอร์สเซิร์ฟเวอร์เพิ่มเติม
Cloudflare WAF + Bot Management เจ้าของเว็บไซต์ WordPress, Magento บล็อกการ exploit ช่องโหว่ที่ใช้ฝัง miner ตั้งแต่หน้าบ้าน ต้องใช้แพลน Pro ขึ้นไปจึงจะมีกฎที่ครอบคลุม

หลักการเลือกคือไม่ใช่เครื่องมือที่แพงที่สุดจะดีที่สุด แต่ต้องเหมาะกับสภาพการใช้งานของคุณ ผู้ใช้ตามบ้านส่วนใหญ่ติด Defender + uBlock Origin ก็เพียงพอ ขณะที่องค์กรที่มีเซิร์ฟเวอร์เปิดออกอินเทอร์เน็ตควรลงทุนกับ EDR และ Network Detection อย่างจริงจัง

คู่มือ 10 ขั้นตอน ป้องกัน Cryptojacking ขุด Monero แบบครอบคลุม

คู่มือชุดนี้ใช้ได้ทั้งกับเครื่องส่วนตัวและเครื่องในที่ทำงาน เรียงลำดับจากเรื่องที่ทำได้ทันทีไม่ต้องอาศัยความรู้เทคนิคไปสู่เรื่องที่ทีมไอทีควรทำในระดับองค์กร ผู้ใช้ทั่วไปทำตามข้อ 1-6 ก็ลดความเสี่ยงไปได้กว่า 90% แล้ว ส่วนข้อ 7-10 เน้นไปที่ผู้ดูแลระบบและนักพัฒนา

  1. อัปเดตระบบปฏิบัติการทุกสัปดาห์: เปิด Windows Update และ macOS Software Update ให้ติดตั้งอัตโนมัติ ช่องโหว่ที่มัลแวร์ขุดเหรียญใช้บ่อยที่สุดคือช่องโหว่ที่มีแพตช์แล้วแต่ผู้ใช้ยังไม่ติดตั้ง
  2. ติดตั้งแอนตี้ไวรัสและเปิดโหมดป้องกันเรียลไทม์: สำหรับ Windows 11 ให้ตรวจสอบว่า Microsoft Defender + Tamper Protection + Cloud-delivered Protection เปิดอยู่ครบ สำหรับ macOS ให้เปิด XProtect และอัปเดต MRT ตลอดเวลา
  3. ติดตั้ง uBlock Origin หรือ Brave Shields ในเบราว์เซอร์: เปิด NoCoin filter list หรือใช้ Brave ที่บล็อกสคริปต์ขุดเหรียญตามค่าเริ่มต้น ลดการขุดผ่านเว็บได้ทันที
  4. หยุดดาวน์โหลดซอฟต์แวร์เถื่อน: เลือกใช้ทางเลือกฟรีอย่าง LibreOffice, GIMP, DaVinci Resolve, OBS Studio แทนซอฟต์แวร์ละเมิดลิขสิทธิ์ที่มีโอกาสฝัง miner สูงมาก
  5. เปิดการแจ้งเตือนเมื่อมีโปรเซสกินซีพียูสูง: ใน Windows ใช้ Performance Monitor หรือ Task Manager แท็บ Performance ตั้งเตือนหาก CPU เกิน 80% ต่อเนื่อง 10 นาทีในช่วงที่ไม่ได้ใช้งาน
  6. เปลี่ยนรหัสผ่านที่ใช้ซ้ำ: ใช้ Bitwarden หรือ 1Password สร้างรหัสผ่านยาวสุ่มเฉพาะแต่ละเว็บ เพื่อป้องกันการเข้าถึงเซิร์ฟเวอร์หรือคลาวด์ผ่านรหัสผ่านที่หลุดมาจากเว็บอื่น
  7. ปิดพอร์ตและ API ที่ไม่จำเป็นบนเซิร์ฟเวอร์: สำหรับ Redis, MongoDB, Docker API, Elasticsearch ให้ binding กับ 127.0.0.1 หรือใช้ firewall จำกัด IP เฉพาะที่ใช้งานจริงเท่านั้น
  8. ตั้งงบประมาณและแจ้งเตือนค่าใช้จ่ายในคลาวด์: ใน AWS Budgets, GCP Billing Alert ให้ตั้งเตือนเมื่อค่าใช้จ่ายเกินงบที่กำหนด เพื่อจับเหตุการณ์ Cryptojacking บนคลาวด์ตั้งแต่วันแรก ไม่ปล่อยให้รู้ตัวสิ้นเดือน
  9. ตรวจสอบ Dependency ของโปรเจกต์เสมอ: ใช้ npm audit, pip-audit, Snyk, GitHub Dependabot ตรวจสอบไลบรารีที่ใช้ในโปรเจกต์เป็นประจำ ระวังแพ็คเกจชื่อคล้ายของยอดนิยมที่อาจเป็น typosquatting
  10. เปิด Network Detection ในเครือข่ายองค์กร: ติดตั้ง Suricata หรือ Zeek ที่ gateway พร้อมกฎตรวจจับ Stratum protocol และ DNS query ไปยังโดเมนพูลขุดที่รู้จัก จะตรวจจับการขุดได้แม้ endpoint ไม่ตรวจพบ

กรณีศึกษา เทศบาลตำบลภาคอีสานที่โดน Cryptojacking ทั้งระบบ

กลางปี 2025 เทศบาลตำบลแห่งหนึ่งในจังหวัดภาคอีสาน (ขอสงวนชื่อตามคำขอของเจ้าหน้าที่ ThaiCERT) ได้รับใบเรียกเก็บค่าไฟฟ้าประจำเดือนสูงผิดปกติเกือบสองเท่าของเดือนก่อน ทั้งที่ไม่ได้มีกิจกรรมพิเศษอะไร เมื่อตรวจสอบพบว่าเซิร์ฟเวอร์เก็บฐานข้อมูลทะเบียนราษฎรและเครื่องไคลเอนต์ในห้องไอทีทั้ง 14 เครื่องมีโปรเซส ชื่อ kworkerd รัน อยู่ที่ CPU 95-100% ตลอด 24 ชั่วโมงมานานกว่าสี่เดือน

จากการวิเคราะห์โดยทีมตอบสนองเหตุการณ์ พบว่าจุดเริ่มต้นคือเจ้าหน้าที่คนหนึ่งดาวน์โหลดโปรแกรมแปลงไฟล์ PDF ฟรีจากเว็บที่กูเกิลขึ้นโฆษณามาเป็นอันดับแรก ไฟล์ติดตั้งฝังมัลแวร์ตระกูล Lemon_Duck ที่สแกนเครือข่ายภายในผ่านช่องโหว่ EternalBlue ที่เซิร์ฟเวอร์ยังไม่ได้อัปเดต และแพร่กระจายไปยังเครื่องทุกเครื่องในวันเดียว มัลแวร์ฝัง XMRig ที่ตั้งให้ส่งผลตอบแทนไปยังกระเป๋า Monero ที่ผูกกับพูล MoneroOcean

เทศบาลตำบลนี้สูญเสียค่าไฟฟ้ารวมประมาณ 340,000 บาทตลอด 4 เดือนที่โดนโจมตี ฮาร์ดดิสก์ของเซิร์ฟเวอร์สองตัวเสียหายเพราะทำงานหนักต่อเนื่อง และต้องว่าจ้างบริษัทภายนอกฟอร์แมตและติดตั้งใหม่ทั้งระบบเป็นเงินอีกประมาณ 180,000 บาท ที่สำคัญที่สุดคือไม่สามารถตามรอย XMR ที่ถูกขุดออกไปแล้วได้ เพราะธรรมชาติของ Monero ออกแบบมาให้ไม่สามารถตามรอยธุรกรรมได้ตั้งแต่แรก

บทเรียนหลักจากเคสนี้คือ หนึ่ง การลงทุนกับแพตช์ระบบและฝึกอบรมพนักงานราคาถูกกว่าค่าใช้จ่ายตอนโดนโจมตีหลายเท่า สอง การมอนิเตอร์ค่าไฟและค่าคลาวด์เป็นสัญญาณเตือนเร็วที่หลายองค์กรมองข้าม สาม การมีนโยบายห้ามติดตั้งโปรแกรมจากแหล่งภายนอกบนเครื่องที่ใช้กับข้อมูลราชการเป็นข้อบังคับที่ควรกำหนดและบังคับใช้จริง

FAQ คำถามที่พบบ่อยเกี่ยวกับ Cryptojacking และ Monero

Cryptojacking ทำให้ข้อมูลส่วนตัวรั่วไหลหรือไม่

โดยทั่วไป Cryptojacking มีเป้าหมายหลักคือใช้พลังประมวลผลของเครื่องเหยื่อขุดเหรียญ ไม่ได้มุ่งขโมยข้อมูล แต่ในทางปฏิบัติ มัลแวร์ขุดเหรียญสมัยใหม่หลายตระกูล เช่น Kinsing และ TeamTNT มีฟีเจอร์ขโมยรหัสผ่าน SSH key, AWS credentials และข้อมูลบัตรเครดิตเพิ่มเติมด้วย ดังนั้นหากตรวจพบ Cryptojacking ในเครื่อง ควรสันนิษฐานว่าข้อมูลสำคัญอาจรั่วและรีบเปลี่ยนรหัสผ่านทั้งหมด

การที่ Microsoft Defender ไม่แจ้งเตือนแปลว่าเครื่องปลอดภัยใช่หรือไม่

ไม่ใช่เสมอไป มัลแวร์ขุดเหรียญสมัยใหม่หลายตระกูลใช้เทคนิค Process Hollowing, DLL Sideloading และการแก้ไข Registry เพื่อหลบการตรวจจับของแอนตี้ไวรัส ทางที่ดีควรใช้ Microsoft Defender คู่กับ Malwarebytes Free สแกนเดือนละครั้ง และเฝ้าดูพฤติกรรมของเครื่องร่วมด้วย เช่น CPU usage และอุณหภูมิ ไม่ควรเชื่อใจเพียงเครื่องมือเดียว

ขุด Monero ผิดกฎหมายในประเทศไทยหรือไม่

การขุดเหรียญ Monero บนเครื่องของตัวเองด้วยไฟฟ้าที่ตัวเองจ่ายค่าไม่ผิดกฎหมายในประเทศไทย แต่ ก.ล.ต. กำกับดูแลการเสนอขายและให้บริการแลกเปลี่ยน ผู้ที่ขุดและขายต้องคำนึงเรื่องการนำรายได้มาคำนวณภาษีตามกรมสรรพากร อย่างไรก็ตาม การขุดบนเครื่องของคนอื่นโดยไม่ได้รับอนุญาตเข้าข่ายความผิดตาม พ.ร.บ. คอมพิวเตอร์ มาตรา 5, 7 และ 10 มีโทษทั้งจำและปรับ

ถ้าตรวจพบว่าเครื่องโดน Cryptojacking ควรทำอย่างไรขั้นแรก

ตัดการเชื่อมต่ออินเทอร์เน็ตทันทีเพื่อหยุดการส่งข้อมูลและการรับคำสั่งจาก C2 จากนั้นบันทึกหน้าจอ Task Manager หรือ Process List เก็บไว้เป็นหลักฐาน รันการสแกนแบบ Full Scan ด้วย Microsoft Defender Offline และ Malwarebytes หากเป็นเซิร์ฟเวอร์ที่เก็บข้อมูลสำคัญ แนะนำให้ฟอร์แมตและติดตั้งใหม่ทั้งหมด เพราะมัลแวร์อาจฝัง backdoor ที่ยากจะตรวจให้หมดด้วยการสแกนปกติ และอย่าลืมรายงานเหตุการณ์ไปยัง ThaiCERT ที่อีเมล report@thaicert.or.th

เครื่องมือถือ Android และ iPhone โดน Cryptojacking ได้หรือไม่

ได้ครับ แม้จะพบน้อยกว่าบนคอมพิวเตอร์ Android เคยพบมัลแวร์ขุดเหรียญ HiddenMiner และ Loapi ที่ปลอมเป็นแอปทำความสะอาดเครื่องในร้านค้านอก Google Play สำหรับ iPhone โอกาสติดต่ำมากหากไม่ได้ jailbreak แต่การเปิดเว็บที่ฝังสคริปต์ขุดยังทำให้เครื่องร้อนและแบตหมดเร็วได้ ทางป้องกันคือดาวน์โหลดแอปจากสโตร์ทางการเท่านั้น ตรวจสอบสิทธิ์ที่แอปขอ และใช้เบราว์เซอร์ที่บล็อกสคริปต์ขุดอย่าง Brave หรือ Safari + Content Blocker

สรุปและก้าวต่อไป

Cryptojacking ไม่ใช่ภัยที่ดูน่ากลัวเหมือนแรนซัมแวร์ในข่าว แต่กลับเป็นภัยที่ส่งผลกระทบต่อผู้ใช้ในประเทศไทยมากกว่าที่หลายคนคิด ค่าไฟที่พุ่งสูง ฮาร์ดแวร์ที่อายุสั้นลง ประสิทธิภาพการทำงานที่ลดลง และความเสี่ยงต่อข้อมูลที่อาจถูกขโมยพร้อมกัน คือต้นทุนที่ซ่อนอยู่ในทุกวันที่เครื่องของคุณยังถูกใช้ขุด Monero ให้คนอื่น การป้องกันที่ดีที่สุดยังคงเป็นพื้นฐานเดิม คือ อัปเดตระบบ ใช้ของแท้ ตั้งรหัสผ่านดี และมอนิเตอร์พฤติกรรมของเครื่องอย่างสม่ำเสมอ

หากคุณสนใจเรียนรู้เพิ่มเติมเกี่ยวกับ Monero ในแง่ของผู้ใช้ที่ถูกต้องตามกฎหมาย ทั้งวิธีการซื้อขาย แลกเปลี่ยน และการเก็บรักษาเหรียญอย่างปลอดภัย คุณสามารถศึกษาเพิ่มเติมจากคู่มือซื้อ Monero แบบไม่ระบุตัวตนของเรา เพื่อทำความเข้าใจว่าทำไม Monero ถึงเป็นทั้งเครื่องมือปกป้องความเป็นส่วนตัวของผู้ใช้สุจริต และในขณะเดียวกันก็เป็นเหรียญที่กลุ่มผู้โจมตีนิยมใช้ การมีความรู้รอบด้านคือเกราะป้องกันที่แข็งแกร่งที่สุดในยุคที่ภัยคุกคามไซเบอร์เปลี่ยนรูปแบบเร็วกว่าที่หลายคนจะตามทัน

แชร์บทความนี้

บทความที่เกี่ยวข้อง

Wasabi Wallet คืออะไร คู่มือ CoinJoin Bitcoin 2026

Jun 06, 2026

Majestic Bank ทางเลือก แลก Monero ไม่มี KYC 2026

Jun 06, 2026

Majestic Bank no log policy แลก XMR ส่วนตัวจริงไหม

Jun 06, 2026

Majestic Bank วงเงิน XMR แลกเท่าไหร่ คู่มือ 2026

Jun 06, 2026

Majestic Bank Tor onion address ใช้งาน 2026

Jun 06, 2026

Majestic Bank ค่าธรรมเนียมแลก Monero เท่าไหร่ 2026

Jun 06, 2026

แลกเปลี่ยน Monero แบบไม่ระบุตัวตน

ไม่ต้อง KYC • ไม่ต้องสมัคร • แลกเปลี่ยนทันที

แลกเปลี่ยนเดี๋ยวนี้