Microsoft เตือน Infostealers ที่ใช้ Python กำลังมุ่งเป้าโจมตี macOS ผ่านโฆษณาปลอมและตัวติดตั้งหลอกลวง

Microsoft ได้ออกคำเตือนเกี่ยวกับภัยคุกคามจากมัลแวร์ขโมยข้อมูล (infostealers) ที่กำลังขยายขอบเขตการโจมตีจากระบบปฏิบัติการ Windows ไปยัง macOS โดยใช้ภาษาโปรแกรมข้ามแพลตฟอร์มอย่าง Python และอาศัยแพลตฟอร์มที่น่าเชื่อถือในการกระจายมัลแวร์ การโจมตีเหล่านี้เริ่มต้นจากการใช้โฆษณาที่เป็นอันตราย (malvertising) ผ่าน Google Ads และเว็บไซต์ปลอมที่ใช้กลยุทธ์หลอกล่อแบบ ClickFix เพื่อให้ผู้ใช้ติดตั้งมัลแวร์ขโมยข้อมูล เช่น Atomic macOS Stealer (AMOS), MacSync และ DigitStealer รวมถึงมัลแวร์ PXA Stealer และ Eternidade Stealer ซึ่งสามารถขโมยข้อมูลสำคัญได้แก่ ข้อมูลประจำตัวเบราว์เซอร์, ข้อมูลเซสชัน, iCloud Keychain และข้อมูลความลับของนักพัฒนา

Severity: สูง

System Impact:

• macOS
• Windows
• Web browsers (Mozilla Firefox, Chrome)
• iCloud Keychain
• ข้อมูลประจำตัวและข้อมูลเซสชัน
• ข้อมูลทางการเงินและกระเป๋าคริปโตเคอร์เรนซี
• ข้อมูลความลับของนักพัฒนา

Technical Attack Steps:

1. Initial Access: ผู้โจมตีใช้โฆษณาที่เป็นอันตราย (malvertising) ผ่าน Google Ads และการทำ SEO poisoning เพื่อหลอกล่อผู้ใช้ที่ค้นหาเครื่องมือหรือโปรแกรม (เช่น DynamicLake, AI tools) ให้เข้าสู่เว็บไซต์ปลอม
2. Social Engineering: เว็บไซต์ปลอมใช้กลยุทธ์หลอกล่อแบบ ClickFix lures หรือปลอมตัวเป็นโปรแกรมติดตั้ง/PDF editor (เช่น Crystal PDF) เพื่อหลอกผู้ใช้ให้ดาวน์โหลดและติดตั้งไฟล์ .DMG ที่เป็นอันตราย
3. Malware Deployment: ไฟล์ .DMG ติดตั้งมัลแวร์ขโมยข้อมูลลงบนระบบ macOS หรือ Windows
4. Execution & Data Theft: มัลแวร์ใช้เทคนิคต่างๆ เช่น การรันแบบไร้ไฟล์ (fileless execution), ยูทิลิตี้พื้นฐานของ macOS, และ AppleScript automation เพื่อขโมยข้อมูล เช่น ข้อมูลประจำตัวเบราว์เซอร์, ข้อมูลเซสชัน, iCloud Keychain, และข้อมูลความลับของนักพัฒนา
5. Persistence (สำหรับ PXA Stealer): ใช้ registry Run keys หรือ scheduled tasks เพื่อให้มัลแวร์ทำงานได้ต่อเนื่องหลังจากรีสตาร์ทเครื่อง
6. Command & Control (C2) & Data Exfiltration (สำหรับ PXA Stealer): สื่อสารกับเซิร์ฟเวอร์ C2 และส่งข้อมูลที่ขโมยมาผ่านแพลตฟอร์มเช่น Telegram

Recommendations:

Short Term:

• ให้ความรู้แก่ผู้ใช้เกี่ยวกับเทคนิควิศวกรรมสังคม เช่น การโจมตีผ่าน malvertising, โปรแกรมติดตั้งปลอม และการหลอกลวงแบบ ClickFix (การคัดลอก/วางคำสั่ง)
• เฝ้าระวังกิจกรรมที่น่าสงสัยใน Terminal และการเข้าถึง iCloud Keychain
• ตรวจสอบการส่งข้อมูลออกนอกเครือข่าย (network egress) สำหรับ POST requests ไปยังโดเมนที่เพิ่งลงทะเบียนใหม่หรือโดเมนที่น่าสงสัย

Long Term:

Source: https://thehackernews.com/2026/02/microsoft-warns-python-infostealers.html