พบแคมเปญมัลแวร์ขั้นสูงที่พุ่งเป้าโจมตีผู้ใช้งาน macOS โดยใช้ประโยชน์จากผลการค้นหาที่ได้รับการสนับสนุนจาก Google (Google Ads) และแพลตฟอร์มที่น่าเชื่อถืออย่าง Claude AI ของ Anthropic และ Medium แคมเปญนี้สามารถเข้าถึงผู้ที่อาจตกเป็นเหยื่อแล้วกว่า 15,000 ราย โดยใช้วิธีโจมตีสองรูปแบบที่แตกต่างกัน ซึ่งอาศัยความไว้วางใจของผู้ใช้ในบริการออนไลน์ที่เป็นที่ยอมรับ การโจมตีเกี่ยวข้องกับการแจกจ่ายมัลแวร์ขโมยข้อมูล MacSync ที่สามารถรวบรวมข้อมูลที่ละเอียดอ่อนจากระบบของเหยื่อ
Severity: สูง
System Impact:
- ผู้ใช้งาน macOS
- Google Ads (ช่องทางโฆษณา)
- Anthropic’s Claude AI (แพลตฟอร์มถูกใช้เป็นที่เก็บ Artifact ปลอม)
- Medium (แพลตฟอร์มถูกใช้เป็นที่เผยแพร่บทความปลอม)
Technical Attack Steps:
- **การล่อลวงผ่าน Google Ads และแพลตฟอร์มที่น่าเชื่อถือ:** ผู้ไม่หวังดีใช้ Google Ads เพื่อโปรโมทหน้า Claude AI ที่เป็นอันตรายปลอมตัวเป็นคู่มือความปลอดภัย macOS หรือเผยแพร่บทความบน Medium ที่แอบอ้างเป็นทีมสนับสนุน Apple
- **การค้นหาและคลิกของผู้ใช้:** ผู้ใช้งาน macOS ที่ค้นหาคำที่เกี่ยวข้องกับความปลอดภัยหรือการจัดการระบบ (เช่น “Online dns resolver”, “macos cli disk space analyzer”) จะพบลิงก์โฆษณาปลอมหรือบทความ Medium ที่เป็นอันตรายในผลการค้นหา
- **การสั่งให้รันคำสั่ง Terminal:** บทความปลอมจะแนะนำให้ผู้ใช้คัดลอกและรันคำสั่งที่เข้ารหัส (base64 หรือเข้ารหัสสองชั้น) ใน Terminal ของตน
- **การดาวน์โหลดและติดตั้งมัลแวร์:** คำสั่งที่รันจะถอดรหัสและเรียกใช้สคริปต์เชลล์ที่เป็นอันตราย ซึ่งจะดาวน์โหลดมัลแวร์ขโมยข้อมูล MacSync มาติดตั้งบนระบบ
- **การหลีกเลี่ยงการตรวจจับ:** มัลแวร์ MacSync จะปลอมแปลง User-Agent ของเบราว์เซอร์ macOS เพื่อให้การรับส่งข้อมูลเครือข่ายดูเหมือนกิจกรรมการท่องเว็บปกติและหลีกเลี่ยงการตรวจจับ
- **การขโมยข้อมูล:** มัลแวร์จะเรียกใช้ส่วนประกอบ AppleScript เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรอง Keychain, ข้อมูลเบราว์เซอร์ และไฟล์กระเป๋าเงินคริปโตเคอร์เรนซี
- **การบีบอัดและส่งข้อมูล:** ข้อมูลที่ถูกขโมยจะถูกบีบอัดเป็นไฟล์ `/tmp/osalogging.zip` ก่อนที่จะส่งออกไปยังเซิร์ฟเวอร์ Command and Control (a2abotnet[.]com/gate) ผ่าน HTTP POST โดยมีกลไกการลองใหม่สำหรับถ่ายโอนข้อมูลขนาดใหญ่
- **การลบร่องรอย:** หลังจากการส่งข้อมูลสำเร็จ มัลแวร์จะลบไฟล์ชั่วคราวและไฟล์ที่ใช้ในการโจมตีเพื่อปกปิดร่องรอย
Recommendations:
Short Term:
- ใช้ความระมัดระวังสูงสุดในการคัดลอกและรันคำสั่ง Terminal จากแหล่งออนไลน์ใดๆ แม้ว่าจะดูน่าเชื่อถือก็ตาม
- ตรวจสอบความถูกต้องของบทความสนับสนุนที่อ้างว่าเป็นของ Apple หรือผู้จำหน่ายที่เชื่อถือได้อื่นๆ อย่างละเอียด
- ระมัดระวังลิงก์โฆษณา (Google Ads) ในผลการค้นหา แม้จะปรากฏในอันดับแรกๆ
Long Term:
- องค์กรควรติดตั้งโซลูชันการตรวจจับปลายทาง (Endpoint Detection and Response – EDR) ที่สามารถตรวจสอบกิจกรรม Terminal ที่น่าสงสัยและการเชื่อมต่อเครือข่ายไปยังเซิร์ฟเวอร์ Command and Control ที่ไม่รู้จัก
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับเทคนิค Social Engineering และความสำคัญของการตรวจสอบแหล่งที่มาของข้อมูลก่อนดำเนินการใดๆ
- ใช้มาตรการรักษาความปลอดภัยหลายชั้น (Multi-factor Authentication) สำหรับบัญชีที่สำคัญ
- อัปเดตระบบปฏิบัติการและซอฟต์แวร์ความปลอดภัยอย่างสม่ำเสมอ
Source: https://cybersecuritynews.com/threat-actors-exploit-claude-artifacts-and-google-ads/
Share this content: