ผู้ใช้ macOS ระวังมัลแวร์ตัวใหม่ SHub Reaper มีความสามารถขโมยข้อมูลได้หลากแบบ
เตือนภัยผู้ใช้ macOS ระวังมัลแวร์ตัวใหม่ SHub Reaper มีความสามารถขโมยข้อมูลได้หลากแบบ
จากรายงานโดยเว็บไซต์ Techrepublic ได้กล่าวถึงรายงานจากทีมวิจัยแห่ง SentinelOne บริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กร ที่มีการตรวจพบมัลแวร์ประเภทเข้าขโมยข้อมูลจากเหยื่อ หรือ Infostealer ตัวใหม่ที่มีการมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS โดยเฉพาะ โดยมัลแวร์ดังกล่าวนั้นมีชื่อว่า SHub Reaper ซึ่งเป็นสายพันธุ์ย่อยในตระกูล SHub อีกทีหนึ่ง
มัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลหลากหลายรูปแบบ เช่น รหัสผ่านบนเว็บเบราว์เซอร์ (ครอบคลุมเว็บเบราว์เซอร์หลากชนิด เช่น Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc, และ Orion), ข้อมูลบนกระเป๋าคริปโตเคอร์เรนซี (Crypto Wallet) โดยครอบคลุมกระเป๋าเงินแบบส่วนเสริมของเว็บเบราว์เซอร์ (Extension) มากมาย เช่น Exodus, Atomic, Ledger Live, Electrum, และ Trezor Suite, ไฟล์การตั้งค่าของเหล่านักพัฒนาซอฟต์แวร์ (Developer Configuration Files), ข้อมูล Session การใช้งานแอปพลิเคชันแชท Telegram, และ ข้อมูลต่าง ๆ ของผู้ใช้งานบริการ Apple เช่น ข้อมูลบน Keychain และ iCloud เป็นต้น นอกจากนั้นยังมีการใช้เครื่องมืออย่าง Filegrabber ในการสแกนหาไฟล์ที่เกี่ยวข้องกับธุรกิจ ที่มีสกุลไฟล์ .docx, .doc, .wallet, .key, .keys, .txt, .rtf, .csv, .xls, .xlsx, .json, และ .rdp โดยจำกัดขนาดไฟล์ไว้ที่ 150MB ทั้งยังมีการใช้เครื่องมือสแกนไฟล์รูปสกุล .PNG ที่มีขนาดเล็กกว่า 6MB และไฟล์ขนาดเล็กอื่น ๆ ที่เล็กกว่า 2MB อีกด้วย โดยไฟล์ที่ขโมยมาได้ทั้งหมดจะถูกเก็บไว้ที่โฟลเดอร์ /tmp/shub_/ ซึ่งข้อมูลที่ขโมยได้ทั้งหมดจะถูกลักลอบส่ง (Exfiltration) ไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในรูปแบบไฟล์บีบอัดแบบ .Zip
ในด้านการแพร่กระจายมัลแวร์นั้น จะเริ่มต้นจากการใช้วิธีการแบบวิศวกรรมทางสังคม หรือ Social Engineering ด้วยการสร้างเว็บไซต์ปลอมเป็นเว็บไซต์ของแอปพลิเคชันชื่อดัง เช่น Miro และ WeChat โดยระหว่างดาวน์โหลดนั้น URL ที่มาของไฟล์จะเป็น URL ที่ทำเลียนแบบโครงสร้างพื้นฐาน (Infrastructure) ของทางไมโครซอฟท์ เพื่อหลีกเลี่ยงความน่าสงสัยของที่มาที่ไป ซึ่งหลังจากที่มัลแวร์ถูกกดติดตั้ง ตัวมัลแวร์ก็จะร้องขอสิทธิ์ (Permission) ในการเข้าถึงระบบจากเหยื่อในทันที เพื่อหลีกเลี่ยงระบบตรวจจับการหลอกลวงแบบ ClickFix (ระบบหลอกลวงว่าเกิดข้อผิดพลาด เพื่อให้เหยื่อรันสคริปท์ดาวน์โหลดและติดตั้งมัลแวร์ตามคำสั่งของแฮกเกอร์) ซึ่งตามปกติจะเป็นการหลอกให้เหยื่อวางสคริปท์บนแอป Terminal แล้วรัน สำหรับในกรณีนี้ตัวมัลแวร์จะใช้สคริปท์ที่ขึ้นต้นว่า applescript:// URL เพื่อให้ตัวสคริปท์ถูกโหลดขึ้นไปก่อน (Preloaded) ไปยังตัว Editor ของ macOS ซึ่งจะทำให้เหยื่อมีหน้าที่แค่กดรัน แล้วป้อนรหัสผ่าน (Password) ของระบบ โดยรหัสผ่านที่เหยื่อโดนหลอกป้อนจะถูกนำเอาไปถอดรหัส (Decryption) รหัสผ่านต่าง ๆ ที่อยู่บนระบบทั้งหมด
นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการคงทนตัวเองอยู่บนระบบ (Persistence) ด้วยการใช้ไฟล์สคริปท์ที่ถูกเข้ารหัสแบบ Base64 ซึ่งถูกตั้งชื่อเลียนแบบชื่อไฟล์ของ Google Software Update โดยใช้ชื่อว่า GoogleUpdate โดยไฟล์สคริปท์ดังกล่าวถูกตั้งค่าให้ติดต่อกับเซิร์ฟเวอร์ C2 ทุก 60 วินาที เพื่อรับคำสั่งในการสั่งการมัลแวร์ รวมทั้งเปิดช่องให้สามารถติดตั้งมัลแวร์เพิ่มเติม ซึ่งมักจะเป็นมัลแวร์แบบเปิดประตูหลังของระบบ (Backdoor) ไม่เพียงเท่านั้น ช่องทางนี้ยังใช้ในการลักลอบส่งไฟล์ (Exfiltration) ออกไปยังเซิร์ฟเวอร์อีกด้วย
เขียนโดย Annonymus TN
5 มือถือสเปกดีแต่ไม่ค่อยได้รับความนิยมในประเทศไทย
จังหวัดในประเทศไทย ที่ไม่มีห้างสรรพสินค้าขนาดใหญ่ตั้งอยู่เลย
แนวทางเลข "ม้าวิ่ง" 16 กรกฏาคม 2569
เผยสถิติเลขออกบ่อย ย้อนหลัง 20 ปี งวดวันที่ 16 กรกฎาคม 2569
"แต๋วจ๋าพารวย" วันที่ 16 กรกฎาคม 2569
ประเทศที่แรกออกกฎหมายห้ามนำล็อบสเตอร์ไปทำอาหารทั้งเป็น
"อาชีพ" ที่เป็นหนี้มากที่สุด
7 สัญญาณเตือน! แบบไหนที่แปลว่าคุณกำลัง "ถังแตก"
เปิด 5 อาชีพที่ AI ยังแทนมนุษย์ไม่ได้
เครื่องรางนำโชคที่โด่งดังที่สุด ในประวัติศาสตร์ยุคใหม่ของไทย
สะพานห้วยตอง ทางโค้งกลางหุบเขา จุดจำของคนเดินทางบนทางหลวงหมายเลข 12
10 บิ๊กสกู๊ตเตอร์ที่นิยมในไทย ปี 2026 ขี่สบาย เดินทางไกลได้ดี ฟีเจอร์ครบ
ประเทศที่แรกออกกฎหมายห้ามนำล็อบสเตอร์ไปทำอาหารทั้งเป็น
"แต๋วจ๋าพารวย" วันที่ 16 กรกฎาคม 2569
7 สัญญาณเตือน! แบบไหนที่แปลว่าคุณกำลัง "ถังแตก"
ทำไมปลั๊กพ่วงบางอันถึงหนักกว่า ทั้งที่หน้าตาเหมือนกัน? คำตอบอาจอยู่ข้างในที่เราไม่เคยเห็น
"อาชีพ" ที่เป็นหนี้มากที่สุด
ทฤษฎี “ความขัดแย้งทางพฤติกรรม” ทำไมมนุษย์เราถึงชอบหาข้ออ้างเวลาทำผิด?
ประเทศที่แรกออกกฎหมายห้ามนำล็อบสเตอร์ไปทำอาหารทั้งเป็น
เกษตรกรจังหวัดปาเวียกำลังเผชิญความแห้งแล้ง
พายุไมสักทำฝนถล่มหนัก นครพนมน้ำท่วมฉับพลัน ชลบุรีเจอน้ำซัดกำแพงพัง ขยะทะลักเข้าหมู่บ้าน
เบื้องหลัง “เพจปลอมรับสมัครงานรายได้ดี” จากความหวังของคนตกงาน สู่การโดนหลอกไปเป็นแก๊งคอลเซ็นเตอร์