ผู้ใช้ macOS ระวังมัลแวร์ตัวใหม่ SHub Reaper มีความสามารถขโมยข้อมูลได้หลากแบบ

เตือนภัยผู้ใช้ macOS ระวังมัลแวร์ตัวใหม่ SHub Reaper มีความสามารถขโมยข้อมูลได้หลากแบบ

จากรายงานโดยเว็บไซต์ Techrepublic ได้กล่าวถึงรายงานจากทีมวิจัยแห่ง SentinelOne บริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กร ที่มีการตรวจพบมัลแวร์ประเภทเข้าขโมยข้อมูลจากเหยื่อ หรือ Infostealer ตัวใหม่ที่มีการมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS โดยเฉพาะ โดยมัลแวร์ดังกล่าวนั้นมีชื่อว่า SHub Reaper ซึ่งเป็นสายพันธุ์ย่อยในตระกูล SHub อีกทีหนึ่ง 

มัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลหลากหลายรูปแบบ เช่น รหัสผ่านบนเว็บเบราว์เซอร์ (ครอบคลุมเว็บเบราว์เซอร์หลากชนิด เช่น Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc, และ Orion), ข้อมูลบนกระเป๋าคริปโตเคอร์เรนซี (Crypto Wallet) โดยครอบคลุมกระเป๋าเงินแบบส่วนเสริมของเว็บเบราว์เซอร์ (Extension) มากมาย เช่น Exodus, Atomic, Ledger Live, Electrum, และ Trezor Suite, ไฟล์การตั้งค่าของเหล่านักพัฒนาซอฟต์แวร์ (Developer Configuration Files), ข้อมูล Session การใช้งานแอปพลิเคชันแชท Telegram, และ ข้อมูลต่าง ๆ ของผู้ใช้งานบริการ Apple เช่น ข้อมูลบน Keychain และ iCloud เป็นต้น นอกจากนั้นยังมีการใช้เครื่องมืออย่าง Filegrabber ในการสแกนหาไฟล์ที่เกี่ยวข้องกับธุรกิจ ที่มีสกุลไฟล์ .docx, .doc, .wallet, .key, .keys, .txt, .rtf, .csv, .xls, .xlsx, .json, และ .rdp โดยจำกัดขนาดไฟล์ไว้ที่ 150MB ทั้งยังมีการใช้เครื่องมือสแกนไฟล์รูปสกุล .PNG ที่มีขนาดเล็กกว่า 6MB และไฟล์ขนาดเล็กอื่น ๆ ที่เล็กกว่า 2MB อีกด้วย โดยไฟล์ที่ขโมยมาได้ทั้งหมดจะถูกเก็บไว้ที่โฟลเดอร์ /tmp/shub_/ ซึ่งข้อมูลที่ขโมยได้ทั้งหมดจะถูกลักลอบส่ง (Exfiltration) ไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในรูปแบบไฟล์บีบอัดแบบ .Zip 

ในด้านการแพร่กระจายมัลแวร์นั้น จะเริ่มต้นจากการใช้วิธีการแบบวิศวกรรมทางสังคม หรือ Social Engineering ด้วยการสร้างเว็บไซต์ปลอมเป็นเว็บไซต์ของแอปพลิเคชันชื่อดัง เช่น Miro และ WeChat โดยระหว่างดาวน์โหลดนั้น URL ที่มาของไฟล์จะเป็น URL ที่ทำเลียนแบบโครงสร้างพื้นฐาน (Infrastructure) ของทางไมโครซอฟท์ เพื่อหลีกเลี่ยงความน่าสงสัยของที่มาที่ไป ซึ่งหลังจากที่มัลแวร์ถูกกดติดตั้ง ตัวมัลแวร์ก็จะร้องขอสิทธิ์ (Permission) ในการเข้าถึงระบบจากเหยื่อในทันที เพื่อหลีกเลี่ยงระบบตรวจจับการหลอกลวงแบบ ClickFix (ระบบหลอกลวงว่าเกิดข้อผิดพลาด เพื่อให้เหยื่อรันสคริปท์ดาวน์โหลดและติดตั้งมัลแวร์ตามคำสั่งของแฮกเกอร์) ซึ่งตามปกติจะเป็นการหลอกให้เหยื่อวางสคริปท์บนแอป Terminal แล้วรัน สำหรับในกรณีนี้ตัวมัลแวร์จะใช้สคริปท์ที่ขึ้นต้นว่า applescript:// URL เพื่อให้ตัวสคริปท์ถูกโหลดขึ้นไปก่อน (Preloaded) ไปยังตัว Editor ของ macOS ซึ่งจะทำให้เหยื่อมีหน้าที่แค่กดรัน แล้วป้อนรหัสผ่าน (Password) ของระบบ โดยรหัสผ่านที่เหยื่อโดนหลอกป้อนจะถูกนำเอาไปถอดรหัส (Decryption) รหัสผ่านต่าง ๆ ที่อยู่บนระบบทั้งหมด

นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการคงทนตัวเองอยู่บนระบบ (Persistence) ด้วยการใช้ไฟล์สคริปท์ที่ถูกเข้ารหัสแบบ Base64 ซึ่งถูกตั้งชื่อเลียนแบบชื่อไฟล์ของ Google Software Update โดยใช้ชื่อว่า GoogleUpdate โดยไฟล์สคริปท์ดังกล่าวถูกตั้งค่าให้ติดต่อกับเซิร์ฟเวอร์ C2 ทุก 60 วินาที เพื่อรับคำสั่งในการสั่งการมัลแวร์ รวมทั้งเปิดช่องให้สามารถติดตั้งมัลแวร์เพิ่มเติม ซึ่งมักจะเป็นมัลแวร์แบบเปิดประตูหลังของระบบ (Backdoor) ไม่เพียงเท่านั้น ช่องทางนี้ยังใช้ในการลักลอบส่งไฟล์ (Exfiltration) ออกไปยังเซิร์ฟเวอร์อีกด้วย