MEXC เตือน ตรวจพบมัลแวร์บน macOS ตัวใหม่ มุ่งหน้าขโมยเหรียญคริปโตจากกระเป๋า

MEXC เตือน ตรวจพบมัลแวร์บน macOS ตัวใหม่ มุ่งหน้าขโมยเหรียญคริปโตจากกระเป๋า

macOS ถึงแม้ที่ผ่านมาได้ได้ชื่อว่าเป็นระบบปฏิบัติการที่ปลอดภัยมากที่สุดตัวหนึ่งของโลกก็ตาม แต่ด้วยความนิยม ก็ได้ทำให้มีการพัฒนามัลแวร์ออกมาใหม่อยู่เรื่อย ๆ เพื่อเล่นงานผู้ใช้งานระบบปฏิบัติการนี้ และในครั้งนี้ก็เป็นอีกครั้งหนึ่งที่ผู้ใช้งาน macOS จะต้องหวาดระแวงกันอีกครั้ง

จากรายงานโดยเว็บไซต์ MEXC ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทขโมยข้อมูลของเหยื่อ หรือ Infostealer ตัวใหม่ที่มุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS ชื่อ MacSync Stealer (v1.1.2) โดยทีมวิจัยจาก SlowMist บริษัทผู้เชี่ยวชาญด้านการพัฒนาระบบรักษาความปลอดภัยให้ระบบนิเวศบล็อกเจน (Blockchain Ecosystem) ได้กล่าวถึงแคมเปญที่ทางทีมตรวจพบได้นี้ว่า ตัวมัลแวร์นั้นมีจุดประสงค์ในการขโมยข้อมูลกระเป๋าเก็บเงินคริปโตเคอร์เรนซี (Crypto Wallet) โดยจะมุ่งเน้นข้อมูลในส่วนของกุญแจส่วนตัว หรือ Private Key ของกระเป๋าเหล่านี้ เป็นหลัก ซึ่งจะช่วยให้แฮกเกอร์สามารถขโมยเงินภายในกระเป๋าได้ทันที โดยเป้าหมายของมัลแวร์จะครอบคลุมกระเป๋าเงินคริปโตยอดนิยมหลายตัว เช่น MetaMask, Trust Wallet และ Exodus เป็นต้น นอกจากนั้นตัวมัลแวร์ยังสามารถขโมยข้อมูลของกระเป๋าเงินแบบฮาร์ดแวร์ หรือ Hard Wallet และกระเป๋าเงินแบบส่วนเสริมเว็บเบราว์เซอร์ หรือ Extension ได้อีกด้วย

นอกจากนั้น ยังมีความสามารถในการขโมยข้อมูลที่หลากหลาย เช่น รหัสผ่าน (Password) ที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์, รหัสที่ถูกบันทึกว่าไว้ Keychain ของระบบ และกุญแจ (Key) สำหรับการใช้งานโครงสร้างพื้นฐาน (Infrastructure) เช่น SSH, AWS, และ K8s เป็นต้น ซึ่งข้อมูลในส่วนหลังนี้จะช่วยให้แฮกเกอร์สามารถเจาะเข้าใช้งานระบบคลาวด์ (Cloud) ที่เหยื่อใช้งานอยู่ได้ นอกจากนั้นยังมีความสามารภในการล่องหนซ่อนตัวได้เป็นเยี่ยม ทำให้ถูกตรวจจับโดยโปรแกรมแอนตี้ไวรัส (Anti-Virus) ต่าง ๆ ได้ยากมาก

ในส่วนของแคมเปญนั้น ทางทีมิวิจัยได้อธิบายว่า แฮกเกอร์จะเริ่มจากการหลอกลวงให้เหยื่อเข้าลิงก์หลอกลวง (Phishing) โดยอ้างว่าภายในลิงก์นั้นมีการแจกจ่ายตัวแคร็ก (Crack) สำหรับช่วยให้ใช้ซอฟต์แวร์เถื่อนได้ฟรี, อัปเดต (ปลอม), และ อื่น ๆ ที่ปรับตามความต้องการของเป้าหมายของแฮกเกอร์ โดยหลังจากที่เหยื่อดาวน์โหลดลงมาติดตั้งลงบนเครื่อง ตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) แล้วทำการขโมยข้อมูลที่กล่าวไว้ข้างต้น ลักลอบส่งออก (Exfiltration) ไปยังตัวเซิร์ฟเวอร์ C2 ในทันที

มัลแวร์ตัวนี้ยังมีความสามารถอันร้ายกาจในการฝ่าระบบป้องกัน (Bypass) ของ macOS ทั้งยังสามารถใช้สิทธิ์ (Permission) ในระดับผู้ดูแลระบบ (System) ในการเข้าถึงข้อมูลสำคัญบน Keychain และเว็บเบราว์เซอร์ และสำหรับเวอร์ชัน 1.1.2 ซึ่งเป็นเวอร์ชันล่าสุดของมัลแวร์ตัวนี้ ก็ได้มีความสามารถในการทำให้ระบบเกิดความสับสน (Obfuscation) ในระดับสูง เช่น การเข้ารหัส (Encryption) ไฟล์มัลแวร์ (Payload) เพื่อหลบเลี่ยงระบบตรวจสอบเอกลักษณ์ของมัลแวร์ (Signature-based Protection), การใช้งานเครื่องมือที่มีอยู่แล้วบน macOS อย่าง osascript เพื่อหลอกให้เหยื่อป้อนรหัสผ่านของระบบ ซึ่งในการป้องกันนั้น ทางทีมวิจัยระบุว่า ผู้ใช้งานควรปิดระบบการรันสคริปท์อัตโนมัติ และหาเครื่องมือสำหรับการป้องกันภัยไซเบอร์บนอุปกรณ์ปลายทาง หรือ EDR (Endpoint Detection and Response) เข้ามาใช้งาน เพื่อป้องกันมัลแวร์ตัวนี้ รวมทั้งใช้งานแอปพลิเตชันต่าง ๆ จากแอปสโตร์อย่างเป็นทางการเท่านั้น ก็จะช่วยลดความเสี่ยงลงไปได้