นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ MacSync สายพันธุ์ใหม่ที่พุ่งเป้าไปที่ผู้ใช้ macOS เพื่อขโมยข้อมูลที่ละเอียดอ่อน แตกต่างจากเวอร์ชันก่อนหน้าที่อาศัยเทคนิค ClickFix ที่ซับซ้อน มัลแวร์เวอร์ชันนี้แฝงตัวเป็นแอปพลิเคชัน Apple ที่ลงนามและรับรองโดย Apple อย่างถูกต้องตามกฎหมาย เขียนด้วย Swift ซึ่งเป็นภาษาโปรแกรมอย่างเป็นทางการของ macOS ทำให้สามารถหลีกเลี่ยงการตรวจสอบความปลอดภัยของ macOS Gatekeeper ได้สำเร็จ และขโมยข้อมูลสำคัญต่างๆ
Severity: สูง
System Impact:
- ผู้ใช้งาน macOS
- ระบบความปลอดภัย macOS Gatekeeper
- ข้อมูลที่ละเอียดอ่อนของผู้ใช้ (Sensitive data)
- ข้อมูลเบราว์เซอร์ (Browser information)
- ข้อมูลรับรองกระเป๋าเงินดิจิทัล (Cryptocurrency wallet credentials)
- การควบคุมระบบจากระยะไกล (Remote system control)
Technical Attack Steps:
- มัลแวร์ MacSync สายพันธุ์ใหม่จะแฝงตัวเป็นแอปพลิเคชัน Swift ที่ลงนามและรับรองโดย Apple อย่างถูกต้องตามกฎหมาย
- ผู้โจมตีได้รับใบรับรองนักพัฒนาที่ถูกต้องตามกฎหมายผ่านการขโมย การซื้อบัญชีนักพัฒนาที่ถูกบุกรุก หรือการจัดตั้งบริษัทนักพัฒนาปลอมด้วยข้อมูลประจำตัวที่ฉ้อโกง
- การปลอมแปลงนี้ช่วยให้มัลแวร์หลีกเลี่ยงการตรวจจับจาก macOS Gatekeeper โดยปรากฏเป็นแอปที่เชื่อถือได้จากนักพัฒนาที่ได้รับการยืนยัน
- มัลแวร์ใช้กลวิธีวิศวกรรมสังคมโดยแอบอ้างเป็นแพลตฟอร์มส่งข้อความออนไลน์ เช่น zk-Call เพื่อหลอกให้ผู้ใช้ติดตั้งซอฟต์แวร์ที่เป็นอันตราย
- เมื่อติดตั้งสำเร็จ มัลแวร์จะติดตั้ง Backdoor เพื่อควบคุมระบบจากระยะไกล
- มัลแวร์จะขโมยข้อมูลที่จัดเก็บไว้ ข้อมูลเบราว์เซอร์ และข้อมูลรับรองกระเป๋าเงินดิจิทัล
- มัลแวร์สามารถเข้าถึงระบบได้อย่างต่อเนื่องและซ่อนเร้น
- มีการระบุเซิร์ฟเวอร์ Command-and-Control (C2) ชื่อ focusgroovy[.]com ซึ่งใช้ในการดึง Payload เพิ่มเติม
Recommendations:
Short Term:
- หลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ แม้ว่าแอปจะดูเหมือนได้รับการลงนามอย่างถูกต้องตามกฎหมายก็ตาม
- ระมัดระวังต่อแคมเปญโฆษณาที่เป็นอันตราย การใช้ประโยชน์จากโซเชียลมีเดีย การบิดเบือนผลการค้นหา และการโจมตีแบบ Spear-Phishing ที่มุ่งเป้า
Long Term:
- อัปเดตระบบปฏิบัติการ macOS และแอปพลิเคชันทั้งหมดให้เป็นเวอร์ชันล่าสุดอยู่เสมอ เพื่อรับการแก้ไขช่องโหว่ด้านความปลอดภัย
- ติดตั้งและอัปเดตโซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่ง
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับกลวิธีวิศวกรรมสังคมที่ผู้โจมตีใช้
- ติดตามข่าวสารด้านความปลอดภัยทางไซเบอร์จากแหล่งที่น่าเชื่อถืออย่างสม่ำเสมอ
Source: https://cybersecuritynews.com/macsync-stealer-signed-macos-app-and-steal-data/
Share this content: