พบแคมเปญ ClickFix ตัวใหม่ มุ่งเล่นงานกลุ่มผู้ใช้งาน macOS

ตรวจพบแคมเปญ ClickFix ตัวใหม่ มุ่งเล่นงานกลุ่มผู้ใช้งาน macOS

ที่เสิร์ชหาวิธีแก้ปัญหาระบบ

ผู้ใช้งานระบบปฏิบัติการ macOS มักจะมีความมั่นใจในระบบรักษาความปลอดภัยที่มีความแข็งแกร่งอย่างเสมอมา แต่ปัญหาก็เริ่มจะมีให้เห็นบ่อย ๆ ในช่วงปีที่ผ่านมานั้นจะเห็นได้ว่ามีข่าวเกี่ยวกับมัลแวร์ และกลวิธีการแฮกใหม่ ๆ ที่มุ่งเน้นการโจมตี macOS มากขึ้นทุกวัน และครั้งนี้ก็เป็นอีกครั้งหนึ่งที่ macOS ตกเป็นเป้าหมาย

จากรายงานโดยเว็บไซต์ซื้อขายแลกเปลี่ยนเหรียญคริปโตเคอร์เรนซี MEXC ได้กล่าวถึงการตรวจพบแคมเปญปล่อยมัลแวร์ใส่กลุ่มผู้ใช้งานระบบปฏิบัติการ macOS ด้วยวิธีการ ClickFix หรือ การใช้งานแจ้งเตือนข้อผิดพลาดปลอมเพื่อหลอกให้รันโค้ดดาวน์โหลดและติดตั้งมัลแวร์ โดยแคมเปญนี้ทางทีมวิจัย Defender Security Research Team จากบริษัทไมโครซอฟท์ ได้ตรวจพบในช่วงปลายปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งตัวแคมเปญนั้นตัวแฮกเกอร์จะทำการโพสต์วิธีแก้ปัญหา (Troubleshooting) ที่เกิดขึ้นระหว่างการใช้งาน macOS บนช่องทางต่าง ๆ เช่น Medium, Craft, และ Squarespace เพื่อล่อลวงให้เหยื่อที่กำลังค้นหาวิธีแก้ปัญหาที่เกิดขึ้นระหว่างการใช้งาน macOS บนระบบค้นหา (Search Engine) ต่าง ๆ หลงเข้ามาติดกับกับบทความสอดไส้คำแนะนำล่อลวงให้รันโค้ดอันตรายเพื่อติดตั้งมัลแวร์นี้

โดยหลังจากที่เหยื่อหลงเข้ามาอ่านบทความดังกล่าวแล้ว ตัวบทความจะแนะนำให้เหยื่อทำการวางโค้ดบนแอปพลิเคชัน Terminal เพื่อดาวน์โหลดมัลแวร์ลงมาบนเครื่อง โดยอ้างว่าวิธีการดังกล่าวนั้นเป็นการแก้ปัญหาการใช้งาน macOS ที่ผู้ใช้งานค้นหาอยู่ ซึ่งหลังจากที่รันโค้ดเรียบร้อย ก็จะนำมาซึ่งการดาวน์โหลดสิ่งเหล่านี้ลงมา

มัลแวร์นกต่อ (Loader)

สคริปท์

เครื่องมือช่วยเหลือ (Helper)

ซึ่งเครื่องมือทั้ง 3 เหล่านี้จะทำหน้าที่ในการเก็บข้อมูลอ่อนไหว (Sensitive Data), สร้างความคงทนอยู่บนระบบให้กับมัลแวร์ (Persistence), และ แอบส่งข้อมูลกลับไปให้ยังแฮกเกอร์ (Exfiltration) โดยมัลแวร์ที่แฮกเกอร์อาจเอามาใช้บนแคมเปญนี้นั้น ทางทีมวิจัยกล่าวว่า มีการตรวจพบว่าแฮกเกอร์ได้ใช้ทั้ง AMOS, Macsync, และ SHub Stealer ซึ่งเป็นมัลแวร์ที่มุ่งเน้นการโจมตีผู้ใช้งาน macOS โดยเฉพาะ โดยจะเป็นการเลือกใช้ตัวใดตัวหนึ่งบนแต่ละบทความล่อลวงที่แฮกเกอร์วางกับดักไว้ ซึ่งมัลแวร์เหล่านี้ล้วนแต่มีประสิทธิภาพในการขโมยข้อมูลที่ร้ายกาจทั้งสิ้น โดยมัลแวร์เหล่านี้ จะทำการเจาะ บัญชี iCloud และ Telegram เพื่อเข้าค้นหาข้อมูลส่วนตัว (Private Data) ในรูปแบบไฟล์เอกสารและรูปภาพที่มีขนาดต่ำกว่า 2MB ทั้งยังมีความสามารถในการขโมยกุญแจ (Key) ที่ใช้ในการกู้กระเป๋าเงินคริปโตเคอร์เรนซี (Wallet) ยอดนิยม เช่น Exodus, Ledger, และTrezor รวมทั้งสามารถขโมยรหัสผ่านที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์ Chrome และ Firefox ได้อีกด้วย

สำหรับการทำงานของมัลแวร์นั้น หลังจากที่เหยื่อรันโค้ดและติดตั้งมัลแวร์ลงบนเครื่อง ตัวมัลแวร์ก็จะทำการเด้งกล่องข้อความ (Dialog) ขึ้นมาเพื่อขอให้ผู้ใช้งานทำการป้อนรหัสผ่านสำหรับใช้งานระบบ (System Password) โดยอ้างว่าเพื่อติดตั้งตัว Helper ลงบนเครื่อง ซึ่งถ้าเหยื่อหลงเชื่อป้อนลงไป ก็จะทำให้แฮกเกอร์สามารถเข้าถึงระบบของเหยื่อได้อย่างสมบูรณ์ในทันที

ในส่วนความสามารถเพิ่มเติมของมัลแวร์บนแคมเปญนี้นั้น ทางทีมวิจัยพบว่าองค์ประกอบต่าง ๆ ของมัลแวร์นั้นมีความสามารถมากมาย เช่น ตัว Loader นั้นจะมีการตรวจสอบเครื่องก่อนทำงาน และถ้าพบว่าคีย์บอร์ดนั้นมีการตั้งค่าเพื่อใช้งานภาษารัสเซีย ตัว Loader ก็จะหยุดทำงานในทันที, ในบางกรณีแทนที่มัลแวร์จะทำการขโมยข้อมูลบนกระเป๋าเงินคริปโตเคอร์เรนซีแบบทั่วไป กลับทำการสับเปลี่ยนแอปพลิเคชันการใช้งานกระเป๋าเงินคริปโตเคอร์เรนซีบนเครื่องของเหยื่อเป็นเวอร์ชันสอดไส้มัลแวร์ไว้อีกที ซึ่งจะครอบคลุมกระเป๋าทั้ง 3 รายชื่อที่กล่าวไว้ข้างต้น นอกจากนั้นยังพบว่า เพื่อการซ่อนมัลแวร์บนระบบอย่างมิดชิด แฮกเกอร์ที่อยู่เบื้องหลังยังได้มีการใช้งานเครื่องมือหลายอย่างบน macOS อย่าง curl และ osascript เพื่อการรันมัลแวร์แบบไร้ไฟล์ (Fileless) บนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้ถูกตรวจสอบภายหลังได้ยากอีกด้วย