MacStealer

มัลแวร์ที่เพิ่งค้นพบซึ่งรู้จักกันในชื่อ MacStealer กำลังคุกคามผู้ใช้ระบบปฏิบัติการ Mac ของ Apple มัลแวร์นี้ได้รับการออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อนจากผู้ที่ตกเป็นเหยื่อ รวมถึงข้อมูลประจำตัว iCloud KeyChain ข้อมูลการเข้าสู่ระบบเว็บเบราว์เซอร์ กระเป๋าเงินดิจิทัล และไฟล์สำคัญอื่นๆ

สิ่งที่ทำให้ MacStealer กังวลเป็นพิเศษคือมีการแจกจ่ายเป็นแพลตฟอร์ม 'Malware-as-a-Service' (MaaS) ซึ่งหมายความว่าผู้พัฒนากำลังเสนอมัลแวร์ที่สร้างไว้ล่วงหน้าเพื่อขายให้กับผู้อื่นที่ต้องการแพร่กระจายต่อไป . งานสร้างที่สร้างไว้ล่วงหน้าเหล่านี้มีจำหน่ายในราคา $100 ทำให้ผู้ประสงค์ร้ายรวมมัลแวร์เข้ากับแคมเปญของตนเองได้ง่ายขึ้น

ตามที่นักวิจัยของ Uptycs ผู้ค้นพบ MacStealer เป็นคนแรก ภัยคุกคามสามารถทำงานบน macOS Catalina (10.15) และทุกเวอร์ชันจนถึง Ventura (13.2) ล่าสุด ซึ่งหมายความว่าผู้ใช้ Mac เกือบทุกคนอาจเสี่ยงต่อมัลแวร์นี้

MacStealer สามารถประนีประนอมข้อมูลที่ละเอียดอ่อนได้หลากหลาย

MacStealer เป็นมัลแวร์ที่ถูกค้นพบในฟอรัมที่ผิดกฎหมายของ Dark Web ซึ่งผู้พัฒนาได้ทำการโปรโมต ผู้ขายอ้างว่ามัลแวร์ยังอยู่ในช่วงการพัฒนาเบต้าในช่วงต้น ดังนั้น จึงไม่มีพาเนลหรือตัวสร้าง แทนที่จะขายมัลแวร์เป็นเพย์โหลด DMG ที่สร้างไว้ล่วงหน้าซึ่งสามารถแพร่ระบาดใน macOS Catalina, Big Sur, Monterey และ Ventura

ผู้คุกคามระบุว่าภัยคุกคามถูกขายในราคาต่ำมากเนื่องจากขาดตัวสร้างหรือแผงควบคุม แต่สัญญาว่าจะมีการเพิ่มคุณสมบัติขั้นสูงเพิ่มเติมในไม่ช้า ผู้พัฒนากล่าวว่า MacStealer สามารถขโมยข้อมูลที่สำคัญได้หลากหลายจากระบบที่ถูกบุกรุก

ตัวอย่างเช่น มีรายงานว่า MacStealer สามารถขโมยรหัสผ่านบัญชี คุกกี้ และรายละเอียดบัตรเครดิตจากเว็บเบราว์เซอร์ยอดนิยม เช่น Firefox, Chrome และ Brave นอกจากนี้ยังสามารถแตกไฟล์ได้หลายประเภท ได้แก่ ไฟล์ DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY และ DB

มัลแวร์ยังสามารถแยกฐานข้อมูล Keychain (login.keychain-db) ในรูปแบบที่เข้ารหัส Base64 นี่คือระบบจัดเก็บข้อมูลที่ปลอดภัยในระบบ macOS ที่เก็บรหัสผ่าน คีย์ส่วนตัว และใบรับรองของผู้ใช้ โดยเข้ารหัสด้วยรหัสผ่านเข้าสู่ระบบ คุณลักษณะนี้สามารถป้อนข้อมูลรับรองการเข้าสู่ระบบบนหน้าเว็บและแอปโดยอัตโนมัติ

สุดท้าย MacStealer สามารถรวบรวมข้อมูลระบบ ข้อมูลรหัสผ่าน Keychain และขโมยกระเป๋าเงินดิจิทัลจากกระเป๋าเงินดิจิทัลจำนวนมาก เช่น Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet และ Binance ฟีเจอร์ทั้งหมดนี้ทำให้ MacStealer เป็นมัลแวร์ที่อันตรายและน่าเป็นห่วงสำหรับผู้ใช้ Mac

ขั้นตอนการดำเนินงานของมัลแวร์ MacStealer

MacStealer เผยแพร่โดยผู้คุกคามในรูปแบบไฟล์ DMG ที่ไม่ได้ลงนาม ไฟล์นี้มีวัตถุประสงค์เพื่อปลอมแปลงเป็นสิ่งที่ชอบด้วยกฎหมายหรือเป็นที่พึงปรารถนาเพื่อหลอกลวงเหยื่อให้ดำเนินการกับระบบ macOS ของตน เมื่อเหยื่อเรียกใช้งานไฟล์ ข้อความแจ้งรหัสผ่านปลอมจะปรากฏขึ้น ซึ่งเรียกใช้คำสั่งที่ทำให้มัลแวร์สามารถรวบรวมรหัสผ่านจากเครื่องที่ถูกบุกรุกได้

หลังจากรวบรวมรหัสผ่านแล้ว MacStealer จะดำเนินการรวบรวมข้อมูลที่ละเอียดอ่อนอื่นๆ เช่น รหัสผ่านบัญชี คุกกี้ รายละเอียดบัตรเครดิต กระเป๋าเงินดิจิทัล และไฟล์ที่อาจมีความละเอียดอ่อน จากนั้นจะเก็บข้อมูลทั้งหมดนี้ไว้ในไฟล์ ZIP ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control ระยะไกลเพื่อให้ผู้คุกคามรวบรวมในภายหลัง

ในขณะเดียวกัน MacStealer จะส่งข้อมูลพื้นฐานเฉพาะไปยังช่องทาง Telegram ที่กำหนดค่าไว้ล่วงหน้า ซึ่งช่วยให้ผู้คุกคามได้รับการแจ้งเตือนอย่างรวดเร็วทุกครั้งที่ข้อมูลใหม่ถูกขโมยและดาวน์โหลดไฟล์ ZIP

แม้ว่าการดำเนินการของ Malware-as-a-Service (MaaS) ส่วนใหญ่จะพุ่งเป้าไปที่ผู้ใช้ Windows แต่ macOS ก็ไม่รอดพ้นจากภัยคุกคามดังกล่าว ดังนั้นจึงเป็นเรื่องสำคัญที่ผู้ใช้ macOS จะต้องระมัดระวังและหลีกเลี่ยงการติดตั้งไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ นอกจากนี้ ผู้ใช้ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์รักษาความปลอดภัยให้ทันสมัยเพื่อป้องกันภัยคุกคามล่าสุด