มัลแวร์ขโมย macOS แบบอะตอม
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยแคมเปญมัลแวร์ใหม่ซึ่งใช้กลวิธีทางวิศวกรรมสังคมอันหลอกลวงที่เรียกว่า ClickFix เพื่อเผยแพร่ Atomic macOS Stealer (AMOS) ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่ออกแบบมาเพื่อโจมตีระบบ macOS ของ Apple
สารบัญ
กลยุทธ์ Typosquat: การปลอมตัวเป็น Spectrum
ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้ใช้โดเมนที่เลียนแบบผู้ให้บริการโทรคมนาคม Spectrum ในสหรัฐอเมริกา โดยใช้เว็บไซต์หลอกลวง เช่น panel-spectrum.net และ spectrum-ticket.net เพื่อล่อผู้ใช้ที่ไม่สงสัย โดเมนที่ดูเหมือนเหล่านี้ได้รับการออกแบบมาให้ดูเหมือนถูกต้องตามกฎหมาย ซึ่งเพิ่มโอกาสที่ผู้ใช้จะไว้วางใจและโต้ตอบกัน
สคริปต์เชลล์ที่เป็นอันตราย: เพย์โหลดที่ซ่อนอยู่
ผู้ใช้ macOS ทุกคนที่เยี่ยมชมเว็บไซต์ปลอมเหล่านี้จะได้รับสคริปต์เชลล์ที่เป็นอันตราย สคริปต์นี้จะแจ้งให้เหยื่อป้อนรหัสผ่านระบบและดำเนินการขโมยข้อมูลประจำตัว ข้ามการควบคุมความปลอดภัยของ macOS และติดตั้งมัลแวร์ AMOS เวอร์ชันหนึ่งเพื่อใช้ประโยชน์เพิ่มเติม คำสั่งดั้งเดิมของ macOS ใช้เพื่อเพิ่มประสิทธิภาพของสคริปต์ให้สูงสุดในขณะที่ยังคงความเป็นส่วนตัว
ร่องรอยแหล่งกำเนิด: ความคิดเห็นเกี่ยวกับรหัสภาษารัสเซีย
หลักฐานบ่งชี้ว่าอาชญากรไซเบอร์ที่พูดภาษารัสเซียอาจอยู่เบื้องหลังแคมเปญนี้ นักวิจัยพบความคิดเห็นเป็นภาษารัสเซียฝังอยู่ในโค้ดต้นฉบับของมัลแวร์ ซึ่งชี้ไปที่แหล่งที่มาทางภูมิศาสตร์และภาษาของผู้ก่อภัยคุกคาม
CAPTCHA ที่หลอกลวง: เหยื่อล่อ ClickFix
การโจมตีเริ่มต้นด้วยข้อความยืนยัน hCaptcha ปลอมที่อ้างว่ากำลังตรวจสอบความปลอดภัยในการเชื่อมต่อของผู้ใช้ หลังจากคลิกช่องกาเครื่องหมาย "ฉันเป็นมนุษย์" ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาดปลอม: "การตรวจสอบ CAPTCHA ล้มเหลว" จากนั้นจะได้รับแจ้งให้ดำเนินการ "ยืนยันทางเลือก"
การดำเนินการนี้จะคัดลอกคำสั่งที่เป็นอันตรายไปยังคลิปบอร์ดและแสดงคำสั่งตามระบบปฏิบัติการของผู้ใช้ ใน macOS เหยื่อจะได้รับคำแนะนำให้วางและเรียกใช้คำสั่งในแอป Terminal เพื่อเริ่มการดาวน์โหลด AMOS
การดำเนินการที่ไม่เรียบร้อย: เบาะแสในโค้ด
แม้ว่าแคมเปญดังกล่าวจะมีจุดประสงค์ที่เป็นอันตราย แต่ผู้วิจัยกลับสังเกตเห็นความไม่สอดคล้องกันในโครงสร้างพื้นฐานของการโจมตี โดยพบข้อผิดพลาดด้านตรรกะและการเขียนโปรแกรมที่ไม่ดีในหน้าการจัดส่ง เช่น:
- คำสั่ง PowerShell ที่กำลังถูกคัดลอกไปสำหรับผู้ใช้ Linux
- คำแนะนำเฉพาะ Windows แสดงให้ทั้งผู้ใช้ Windows และ Mac เห็น
- ความไม่ตรงกันของส่วนหน้าระหว่างระบบปฏิบัติการที่แสดงและคำแนะนำ
การเพิ่มขึ้นของ ClickFix: เวกเตอร์ภัยคุกคามที่ขยายตัว
การพัฒนานี้เป็นส่วนหนึ่งของแนวโน้มที่เพิ่มขึ้นในการใช้กลยุทธ์ ClickFix ในแคมเปญมัลแวร์หลายรายการในช่วงปีที่ผ่านมา ผู้ก่อภัยคุกคามมักใช้เทคนิค เครื่องมือ และขั้นตอน (TTP) ที่คล้ายคลึงกันสำหรับการเข้าถึงเบื้องต้น โดยส่วนใหญ่มักจะเป็นดังนี้:
- สเปียร์ฟิชชิ่ง
- ดาวน์โหลดแบบไดรฟ์บาย
- ลิงก์ที่เป็นอันตรายที่แชร์ผ่านแพลตฟอร์มที่เชื่อถือได้เช่น GitHub
การแก้ไขปลอม ความเสียหายจริง: วิศวกรรมสังคมที่เลวร้ายที่สุด
เหยื่อถูกหลอกให้เชื่อว่าตนกำลังแก้ไขปัญหาทางเทคนิคที่ไม่ร้ายแรง แต่ในความเป็นจริงแล้ว พวกเขากำลังดำเนินการคำสั่งที่เป็นอันตรายซึ่งติดตั้งมัลแวร์ กลวิธีทางสังคมรูปแบบนี้มีประสิทธิภาพสูงในการหลีกเลี่ยงการตระหนักรู้ของผู้ใช้และกลไกความปลอดภัยมาตรฐาน
ผลกระทบที่เพิ่มขึ้น: การแพร่กระจายทั่วโลกและเพย์โหลดที่หลากหลาย
แคมเปญ ClickFix ถูกตรวจพบในสภาพแวดล้อมของลูกค้าในสหรัฐอเมริกา ยุโรป ตะวันออกกลาง และแอฟริกา (EMEA) การโจมตีเหล่านี้มีหลากหลายมากขึ้นเรื่อยๆ โดยไม่เพียงแต่โจมตีแบบขโมยข้อมูล เช่น AMOS เท่านั้น แต่ยังโจมตีโทรจันและแรนซัมแวร์ด้วย แม้ว่าเพย์โหลดอาจแตกต่างกัน แต่หลักการพื้นฐานยังคงเหมือนเดิม นั่นคือ บิดเบือนพฤติกรรมของผู้ใช้เพื่อทำลายความปลอดภัย
สรุป : จำเป็นต้องมีการเฝ้าระวัง
แคมเปญนี้เน้นย้ำถึงความสำคัญของการเฝ้าระวังอย่างต่อเนื่อง การให้ความรู้แก่ผู้ใช้ และการควบคุมความปลอดภัยที่เข้มงวด เมื่อกลยุทธ์ทางวิศวกรรมสังคมเช่น ClickFix พัฒนาขึ้น องค์กรและบุคคลต่างก็ต้องคอยติดตามข้อมูลและเตรียมพร้อมที่จะรับรู้และบล็อกภัยคุกคามที่หลอกลวงดังกล่าว
