โปรแกรมขโมยข้อมูล Python บน macOS
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังแสดงความกังวลเกี่ยวกับการขยายตัวอย่างรวดเร็วของการโจมตีเพื่อขโมยข้อมูลจากระบบปฏิบัติการ Microsoft Windows ไปสู่ระบบปฏิบัติการ Apple macOS ผู้โจมตีพึ่งพาภาษาโปรแกรมข้ามแพลตฟอร์ม เช่น Python มากขึ้น และใช้ประโยชน์จากบริการที่น่าเชื่อถือและแพลตฟอร์มโฆษณาเพื่อกระจายมัลแวร์ในวงกว้าง ซึ่งเป็นการขยายขอบเขตการโจมตีอย่างมาก
สารบัญ
เทคนิคทางสังคม (Social Engineering) เป็นเครื่องมือสำคัญในการโจมตีแคมเปญขโมยข้อมูลบน macOS
นับตั้งแต่ปลายปี 2025 เป็นต้นมา มีการโจมตีผู้ใช้ macOS ด้วยเทคนิคทางสังคมหลายครั้ง โดยเฉพาะอย่างยิ่ง ClickFix การปฏิบัติการเหล่านี้แจกจ่ายไฟล์ติดตั้งดิสก์อิมเมจ (DMG) ที่เป็นอันตราย ซึ่งจะติดตั้งมัลแวร์ขโมยข้อมูล macOS ที่รู้จักกันดี เช่น Atomic macOS Stealer (AMOS), MacSync และ DigitStealer การแพร่กระจายมักขึ้นอยู่กับการโน้มน้าวให้ผู้ใช้เริ่มกระบวนการติดเชื้อด้วยตนเอง
การละเมิดระบบ macOS และการขโมยข้อมูลอย่างลับๆ
เมื่อดำเนินการแล้ว ภัยคุกคามเหล่านี้มักอาศัยเทคนิคที่ไม่ต้องใช้ไฟล์ ยูทิลิตี้พื้นฐานของ macOS และการทำงานอัตโนมัติด้วย AppleScript เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการรวบรวมข้อมูล ข้อมูลที่ถูกขโมยโดยทั่วไปประกอบด้วยข้อมูลประจำตัวและข้อมูลเซสชันที่จัดเก็บไว้ในเบราว์เซอร์ รายการสำคัญจาก iCloud Keychain และความลับที่เกี่ยวข้องกับนักพัฒนา ซึ่งอาจนำไปสู่การเจาะระบบเพิ่มเติมได้
การโฆษณาที่เป็นอันตรายในฐานะช่องทางการเข้าถึงเบื้องต้น
การโจมตีแบบนี้จำนวนมากเริ่มต้นด้วยโฆษณาที่เป็นอันตราย ซึ่งมักส่งผ่าน Google Ads ผู้ใช้ที่ค้นหาซอฟต์แวร์ที่ถูกต้อง เช่น โปรแกรมยูทิลิตี้ของ DynamicLake หรือเครื่องมือปัญญาประดิษฐ์ จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม เว็บไซต์เหล่านี้ใช้กลลวงของ ClickFix ที่สั่งให้เหยื่อทำตามคำสั่งคัดลอกวางหรือข้อความแจ้งเตือนของโปรแกรมติดตั้ง ส่งผลให้มัลแวร์ถูกติดตั้งลงในเครื่องโดยอัตโนมัติ
Python Stealers ช่วยให้ปรับตัวได้อย่างรวดเร็ว
โปรแกรมขโมยข้อมูลที่ใช้ Python เป็นพื้นฐานนั้นดึงดูดใจผู้โจมตีเป็นพิเศษ เนื่องจากมีความยืดหยุ่นและนำไปใช้งานซ้ำได้ง่ายในระบบปฏิบัติการต่างๆ ภัยคุกคามเหล่านี้มักแพร่กระจายผ่านอีเมลฟิชชิง และได้รับการออกแบบมาเพื่อขโมยข้อมูลสำคัญหลากหลายประเภท รวมถึง:
ข้อมูลประจำตัวในการเข้าสู่ระบบ คุกกี้เซสชัน โทเค็นการตรวจสอบสิทธิ์ รายละเอียดบัตรเครดิต และข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี
การขโมย PXA และการใช้แอปส่งข้อความในทางที่ผิด
ตัวอย่างที่โดดเด่นอย่างหนึ่งคือ PXA Stealer ซึ่งเชื่อว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่พูดภาษาเวียดนาม แคมเปญที่ถูกบันทึกไว้ในช่วงเดือนตุลาคมและธันวาคม 2025 อาศัยอีเมลฟิชชิ่งในการเข้าถึงครั้งแรก และใช้คีย์ Run ในรีจิสทรีหรืองานที่กำหนดเวลาไว้เพื่อรักษาการทำงานอย่างต่อเนื่อง Telegram ถูกใช้สำหรับการสื่อสารควบคุมและสั่งการ รวมถึงการขโมยข้อมูล นอกจากนี้ กลุ่มแฮกเกอร์ยังใช้แพลตฟอร์มการส่งข้อความยอดนิยมอย่าง WhatsApp เป็นอาวุธในการแพร่กระจายมัลแวร์ เช่น Eternidade Stealer โดยมุ่งเป้าไปที่บัญชีทางการเงินและสกุลเงินดิจิทัล ซึ่งเป็นแคมเปญที่ถูกเปิดเผยต่อสาธารณะในเดือนพฤศจิกายน 2025
การโจมตี SEO และซอฟต์แวร์ปลอมบน Windows
การโจมตีแบบขโมยข้อมูลไม่ได้จำกัดอยู่แค่ระบบปฏิบัติการ macOS เท่านั้น มีการโจมตีในลักษณะเดียวกันโดยใช้โปรแกรมแก้ไข PDF ปลอม เช่น Crystal PDF ซึ่งเผยแพร่ผ่านการโฆษณาที่เป็นอันตรายและการโจมตีเพื่อเพิ่มประสิทธิภาพการค้นหาในเครื่องมือค้นหา ส่วนการโจมตีที่มุ่งเป้าไปที่ระบบ Windows นั้น ใช้โปรแกรมขโมยข้อมูลประจำตัวที่สามารถดึงข้อมูลคุกกี้ ข้อมูลเซสชัน และข้อมูลประจำตัวที่แคชไว้จาก Mozilla Firefox และ Google Chrome ได้อย่างเงียบๆ
มาตรการป้องกันการโจรกรรมข้อมูล
เพื่อลดความเสี่ยงจากการถูกโจรกรรมข้อมูล องค์กรต่างๆ ควรใช้มาตรการป้องกันหลายชั้นและโครงการสร้างความตระหนักรู้แก่ผู้ใช้ ซึ่งรวมถึง:
- ฝึกอบรมผู้ใช้ให้รู้จักแยกแยะการเปลี่ยนเส้นทางโฆษณาที่เป็นอันตราย โปรแกรมติดตั้งที่เป็นการฉ้อโกง และข้อความแจ้งเตือนแบบ ClickFix
- ตรวจสอบกิจกรรมที่ผิดปกติบนอุปกรณ์ปลายทาง การเข้าถึง iCloud Keychain โดยไม่ได้รับอนุญาต และคำขอ POST ขาออกที่น่าสงสัยไปยังโดเมนที่ลงทะเบียนใหม่หรือโดเมนที่ผิดปกติ
ผลกระทบทางธุรกิจจากการถูกโจรกรรมข้อมูล
การติดมัลแวร์ขโมยข้อมูลสำเร็จอาจส่งผลกระทบในวงกว้าง ข้อมูลประจำตัวและข้อมูลเซสชันที่ถูกขโมยอาจนำไปสู่การรั่วไหลของข้อมูล การเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต การโจรกรรมอีเมลธุรกิจ การบุกรุกห่วงโซ่อุปทาน และการโจมตีต่อเนื่อง เช่น การแพร่กระจายแรนซัมแวร์ การตรวจจับเชิงรุกและการให้ความรู้ยังคงมีความสำคัญอย่างยิ่งต่อการจำกัดความเสี่ยงเหล่านี้
