มัลแวร์ขโมยข้อมูล AMOS (Atomic MacOS Stealer) กำลังแพร่ระบาดโดยกำหนดเป้าหมายผู้ใช้ macOS ผ่านการหลอกลวงที่เกี่ยวข้องกับแอปพลิเคชันและส่วนขยาย AI ยอดนิยม แคมเปญล่าสุดที่เรียกว่า “ClawHavoc” ใช้ประโยชน์จากความนิยมของระบบนิเวศ OpenClaw และ ClawHub โดยการฝัง AMOS ไว้ใน ‘skills’ หรือส่วนเสริมที่ดูเหมือนถูกกฎหมาย (เช่น เครื่องมือคริปโต, ยูทิลิตี้เพิ่มประสิทธิภาพ) เพื่อขโมยข้อมูลรับรอง, ข้อมูลกระเป๋าเงินดิจิทัล, เซสชันเบราว์เซอร์, คีย์ SSH และข้อมูลส่วนบุคคลที่ละเอียดอ่อนอื่นๆ AMOS ถูกค้นพบครั้งแรกในเดือนพฤษภาคม 2023 และมีจำหน่ายในรูปแบบ Malware-as-a-Service (MaaS) ในตลาดใต้ดิน นอกจากแคมเปญ AI แล้ว ยังมีรายงานว่า AMOS กำหนดเป้าหมายผู้ใช้ LastPass ผ่านแอปปลอมบน GitHub และผู้ใช้ ChatGPT โดยใช้คุณสมบัติแชทที่แชร์เพื่อโฮสต์คู่มือการติดตั้งที่เป็นอันตราย มัลแวร์นี้แพร่กระจายผ่านเทคนิค Social Engineering ที่ปรับตัวได้สูง รวมถึง Malvertising, การปลอมแปลงแบรนด์ซอฟต์แวร์ยอดนิยม และการหลอกล่อให้เหยื่อรันคำสั่ง Terminal ด้วยตนเอง ทำให้เป็นช่องทางเริ่มต้นที่สำคัญในห่วงโซ่การโจมตีทางไซเบอร์.
Severity: สูง
System Impact:
- ระบบปฏิบัติการ macOS
- เว็บเบราว์เซอร์ (ข้อมูลรับรอง, คุกกี้เซสชัน)
- ที่เก็บข้อมูลรับรองระบบ (เช่น Mac keychain)
- กระเป๋าเงินดิจิทัล (Crypto Wallets)
- แอปพลิเคชันส่งข้อความ
- ไฟล์ในเครื่องที่มีข้อมูลละเอียดอ่อน
- คลัง GitHub (ถูกใช้เป็นช่องทางเผยแพร่)
- เครื่องมือค้นหา (Google, Bing – ถูกใช้ในการทำ SEO Poisoning/Malvertising)
- ตลาดส่วนขยาย/แอปพลิเคชัน AI (เช่น OpenClaw, ClawHub)
- ChatGPT (คุณสมบัติแชทที่แชร์)
Technical Attack Steps:
- การแพร่กระจาย (Dissemination): แฮกเกอร์ฝังมัลแวร์ AMOS ในแอปพลิเคชัน AI หรือส่วนขยายปลอมที่ดูน่าเชื่อถือ, ใช้ SEO Poisoning/Malvertising เพื่อผลักดันเว็บไซต์ดาวน์โหลดปลอมหรือคลัง GitHub ที่มีมัลแวร์, ปลอมแปลงเป็นซอฟต์แวร์ยอดนิยม และใช้ลิงก์/อีเมลฟิชชิง.
- การหลอกล่อเหยื่อ (Social Engineering): เหยื่อถูกหลอกให้ดาวน์โหลดและติดตั้งแอป/ส่วนขยายที่มีมัลแวร์ หรือถูกนำไปยังหน้า ‘ClickFix-style’ ที่หลอกให้รันคำสั่ง Terminal ด้วยตนเอง.
- การดำเนินการของมัลแวร์ (Malware Execution): เมื่อ AMOS ถูกรันบนเครื่องเป้าหมาย จะทำการสแกนและรวบรวมข้อมูลอย่างรวดเร็ว.
- การขโมยข้อมูล (Data Exfiltration): ขโมยข้อมูลการรับรองความถูกต้อง, คุกกี้เซสชัน, ข้อมูลกระเป๋าเงินดิจิทัล, คีย์ SSH, และเอกสารสำคัญจากเบราว์เซอร์, ที่เก็บข้อมูลรับรองระบบ, แอปส่งข้อความ และไฟล์ในเครื่อง.
- การส่งข้อมูล (Exfiltration): ส่งข้อมูลที่ถูกขโมยไปยังโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี.
- การสร้างรายได้ (Monetization): ข้อมูลที่ถูกขโมย (stealer logs) ถูกขายหรือแลกเปลี่ยนในตลาดใต้ดินเพื่อนำไปใช้ในการโจมตีต่อเนื่อง เช่น การยึดครองบัญชี, การฉ้อโกง, หรือการขโมยสกุลเงินดิจิทัล.
Recommendations:
Short Term:
- ระมัดระวังในการดาวน์โหลดแอปพลิเคชันและส่วนขยาย โดยเฉพาะจากแหล่งที่ไม่เป็นทางการ หรือที่นอกเหนือจาก App Store.
- ตรวจสอบความถูกต้องของเว็บไซต์และผู้เผยแพร่ซอฟต์แวร์อย่างรอบคอบก่อนที่จะทำการติดตั้ง.
- หลีกเลี่ยงการรันคำสั่ง Terminal ที่ไม่รู้จักหรือมาจากแหล่งที่ไม่น่าเชื่อถือ.
- ใช้โซลูชันความปลอดภัยที่ครอบคลุม (เช่น Antivirus/Anti-malware) สำหรับ macOS.
- เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับบัญชีออนไลน์ทั้งหมดที่มีอยู่.
Long Term:
- ให้ความรู้แก่ผู้ใช้และบุคลากรในองค์กรเกี่ยวกับเทคนิค Social Engineering, Malvertising, และการหลอกลวงด้วย AI ที่เกิดขึ้นใหม่.
- ตรวจสอบและจัดการสิทธิ์การเข้าถึงของแอปพลิเคชันและส่วนขยาย AI ที่ติดตั้งอยู่อย่างสม่ำเสมอ.
- พิจารณาใช้บริการตรวจสอบ Dark Web เพื่อตรวจจับข้อมูลรับรองขององค์กรที่อาจถูกบุกรุกและถูกนำไปขาย.
- ใช้ Password Manager ที่ปลอดภัยเพื่อสร้างและจัดเก็บรหัสผ่านที่รัดกุมและไม่ซ้ำกัน.
- ประยุกต์ใช้หลักการ Zero Trust ในการจัดการการเข้าถึงระบบและข้อมูล.
- อัปเดตระบบปฏิบัติการ, เว็บเบราว์เซอร์ และซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุดอยู่เสมอ.
Share this content: