MacSync มัลแวร์ขโมยข้อมูลสำหรับ macOS ที่ซับซ้อน ได้ปรากฏขึ้นเป็นภัยคุกคามใหม่ที่มุ่งเป้าไปที่ผู้ใช้งานสกุลเงินดิจิทัลผ่านกลวิธี Social Engineering มัลแวร์นี้ทำงานเป็นเครื่องมือ Malware-as-a-Service (MaaS) ราคาไม่แพง ซึ่งออกแบบมาเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนจากระบบ macOS โดยหลอกให้เหยื่อวางคำสั่งเดียวลงในแอปพลิเคชัน Terminal ของพวกเขา การโจมตีนี้สามารถเลี่ยงการป้องกันความปลอดภัยของ macOS เช่น Gatekeeper และการตรวจสอบ Code Notarization ได้อย่างสมบูรณ์
Severity: สูง
System Impact:
- ระบบปฏิบัติการ macOS
- ผู้ใช้งานสกุลเงินดิจิทัล
- เว็บเบราว์เซอร์ (Chrome, Brave, Edge, Opera และเบราว์เซอร์ที่ใช้ Chromium อื่นๆ)
- แอปพลิเคชัน Wallet สกุลเงินดิจิทัลบน Desktop (เช่น Exodus, Electrum, Bitcoin Core)
- แอปพลิเคชัน Hardware Wallet (เช่น Ledger, Trezor)
- ข้อมูลละเอียดอ่อน: รหัสผ่านที่จัดเก็บในเบราว์เซอร์, คุกกี้สำหรับการยืนยันตัวตน, วลีรหัสผ่าน (seed phrases) และ Private Key ของ Wallet สกุลเงินดิจิทัล, SSH keys, AWS credentials, ฐานข้อมูล Keychain, Apple Notes
Technical Attack Steps:
- การหลอกลวง (Social Engineering): ผู้โจมตีใช้หน้าเว็บฟิชชิ่งที่เลียนแบบหน้าล็อกอิน Microsoft หรือหน้าติดตั้งซอฟต์แวร์คลาวด์ปลอม เพื่อหลอกให้เหยื่อเข้าชม
- การสั่งให้รันคำสั่ง (Terminal Command Execution): หน้าเว็บปลอมจะแสดงคำแนะนำทีละขั้นตอนให้เหยื่อคัดลอกและวางคำสั่ง Zsh เพียงบรรทัดเดียวลงในแอปพลิเคชัน Terminal ของพวกเขา
- การติดตั้ง Loader (Zsh Loader Deployment): คำสั่ง Zsh ที่ถูกวางจะดาวน์โหลดและติดตั้ง Zsh loader ซึ่งทำงานเป็น daemon ในพื้นหลังโดยไม่แสดงผล
- การเรียกใช้ AppleScript Payload: Loader ที่ติดตั้งแล้วจะดึงและรัน AppleScript payload ที่มีฟังก์ชันการขโมยข้อมูลหลัก
- การขโมยรหัสผ่าน (Password Elicitation): มัลแวร์จะแสดงกล่องโต้ตอบระบบปลอมซ้ำๆ เพื่อหลอกขอรหัสผ่านล็อกอินของเหยื่อ
- การขโมยข้อมูล (Data Exfiltration): มัลแวร์จะรวบรวมโปรไฟล์เบราว์เซอร์ (รหัสผ่าน, คุกกี้), วลีรหัสผ่านและ Private Key จากส่วนขยายของ Wallet คริปโตและแอปพลิเคชัน Wallet บน Desktop รวมถึง SSH keys, AWS credentials, ฐานข้อมูล Keychain และ Apple Notes
- การปลอมแปลง Hardware Wallet (Hardware Wallet Trojanization): หากตรวจพบแอปพลิเคชัน Hardware Wallet มัลแวร์จะแทนที่ส่วนประกอบของแอปพลิเคชันด้วยเวอร์ชันที่เป็นอันตราย เพื่อหลอกขอ PIN หรือ recovery phrases ในอีกหลายสัปดาห์หรือหลายเดือนหลังจากติดเชื้อ
Recommendations:
Short Term:
- ห้ามคัดลอกและวางคำสั่งจากแหล่งที่ไม่รู้จักหรือน่าสงสัยลงใน Terminal โดยเด็ดขาด
- ตรวจสอบ URL และความถูกต้องของเว็บไซต์ดาวน์โหลดซอฟต์แวร์อย่างละเอียดก่อนดำเนินการใดๆ
- ระมัดระวังหน้าต่างป๊อปอัพที่ขอรหัสผ่านล็อกอินระบบที่ไม่คาดคิด
- ใช้รหัสผ่านที่รัดกุมและแตกต่างกันสำหรับแต่ละบริการ
- เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA/2FA) สำหรับบัญชีสำคัญทั้งหมด โดยเฉพาะบัญชีที่เกี่ยวข้องกับสกุลเงินดิจิทัล
Long Term:
- อัปเดตระบบปฏิบัติการ macOS และซอฟต์แวร์ทั้งหมดให้เป็นปัจจุบันอยู่เสมอ เพื่อป้องกันช่องโหว่ที่ทราบแล้ว
- ติดตั้งและใช้โปรแกรม Antivirus/Endpoint Detection and Response (EDR) ที่เชื่อถือได้บน macOS
- ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับการโจมตีแบบ Social Engineering และอันตรายของการรันคำสั่งที่ไม่เข้าใจใน Terminal
- พิจารณาใช้ Password Manager เพื่อจัดการรหัสผ่านอย่างปลอดภัย
- สำหรับผู้ใช้สกุลเงินดิจิทัล: ใช้ Hardware Wallet ในการเก็บสินทรัพย์ดิจิทัล และตรวจสอบความถูกต้องของแอปพลิเคชันที่ใช้ร่วมกับ Hardware Wallet อย่างสม่ำเสมอ
Source: https://cybersecuritynews.com/macsync-macos-infostealer-leverage-clickfix-style-attack/
Share this content: