Miolab Stealer

Miolab หรือที่รู้จักกันในชื่อ Nova เป็นมัลแวร์ขโมยข้อมูลขั้นสูงที่ออกแบบมาโดยเฉพาะเพื่อโจมตีผู้ใช้ macOS มีการเผยแพร่ผ่านฟอรัมของแฮกเกอร์ภายใต้โมเดล Malware-as-a-Service (MaaS) ทำให้แฮกเกอร์สามารถเข้าถึงเครื่องมือที่มีประสิทธิภาพโดยไม่จำเป็นต้องมีความเชี่ยวชาญทางเทคนิคมากนัก มัลแวร์นี้สามารถดึงข้อมูลสำคัญจากส่วนขยายกระเป๋าเงินดิจิทัล เว็บเบราว์เซอร์ และแอปพลิเคชันการจัดการต่างๆ รวมถึงเก็บเกี่ยวไฟล์โดยตรงจากระบบที่ถูกโจมตี การกำจัดทันทีเมื่อตรวจพบเป็นสิ่งสำคัญอย่างยิ่งเพื่อลดความเสียหายให้น้อยที่สุด

ออกแบบมาเพื่อประสิทธิภาพ สร้างมาเพื่อการหลบหลีก

Miolab ไม่ใช่โปรแกรมขโมยข้อมูลพื้นฐาน แต่ได้รวมเอาแผงควบคุมส่วนกลางและเครื่องมือจัดการการโจมตีไว้ด้วย ซึ่งช่วยเพิ่มระดับความเสี่ยงอย่างมาก โครงสร้างพื้นฐานนี้ช่วยให้แม้แต่ผู้โจมตีที่มีทักษะต่ำก็สามารถดำเนินการแคมเปญที่ซับซ้อนได้ สถาปัตยกรรมที่เบาและได้รับการปรับแต่งอย่างดีช่วยเพิ่มการแพร่กระจาย รับประกันประสิทธิภาพที่สม่ำเสมอในสภาพแวดล้อม macOS ที่หลากหลาย และช่วยหลีกเลี่ยงกลไกการตรวจจับแบบดั้งเดิม

การควบคุมและสั่งการ: การจัดการการโจมตีแบบง่ายๆ

แผงควบคุมในตัวช่วยให้ผู้โจมตีสามารถมองเห็นภาพรวมของเหยื่อที่ถูกโจมตีได้อย่างเป็นระบบ รวมถึงข้อมูลทางภูมิศาสตร์และข้อมูลที่ถูกขโมยไป นอกจากนี้ยังรวมถึงฟังก์ชันการทำงานในการนำเซสชันการตรวจสอบสิทธิ์ของ Google ที่ถูกขโมยมาใช้ซ้ำ ซึ่งช่วยให้สามารถเข้าถึงบัญชีโดยไม่ได้รับอนุญาตโดยไม่ต้องใช้รหัสผ่านหรือข้ามการตรวจสอบสิทธิ์แบบสองขั้นตอนโดยตรง

นอกจากนี้ Miolab ยังรองรับการใช้งานหน้าเว็บเผยแพร่มัลแวร์และวิธีการโจมตีแบบ ClickFix ผู้ปฏิบัติงานจะได้รับประโยชน์จากการแจ้งเตือนแบบเรียลไทม์ผ่าน Telegram และสามารถทำให้ขั้นตอนต่างๆ ของแคมเปญเป็นไปโดยอัตโนมัติ ซึ่งจะช่วยเพิ่มประสิทธิภาพและขอบเขตการดำเนินงาน

ความสามารถในการดึงข้อมูลจากเบราว์เซอร์และสกุลเงินดิจิทัล

Miolab มุ่งเป้าไปที่ข้อมูลที่จัดเก็บไว้ในเบราว์เซอร์อย่างรุนแรง โดยดึงข้อมูลประจำตัวและข้อมูลที่เกี่ยวข้องกับเซสชัน ซึ่งสามารถนำไปใช้ในการโจมตีเพิ่มเติมได้ ขอบเขตการโจมตีครอบคลุมทั้งเบราว์เซอร์หลักและเบราว์เซอร์เฉพาะกลุ่ม ทำให้พื้นที่การโจมตีขยายวงกว้างขึ้นอย่างมาก

• ข้อมูลเบราว์เซอร์ที่ละเอียดอ่อนที่ถูกเก็บรวบรวม ได้แก่ รหัสผ่านที่บันทึกไว้ คุกกี้ ประวัติการท่องเว็บ และรายละเอียดการกรอกข้อมูลอัตโนมัติ เช่น อีเมลและที่อยู่
• นอกจากนี้ ยังมีการเก็บรวบรวมหลักฐานการยืนยันตัวตน เช่น โทเค็นของ Google และคุกกี้ของ Safari ด้วย
  เบราว์เซอร์เป้าหมาย ได้แก่ Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex และ Coc Coc
• นอกเหนือจากเว็บเบราว์เซอร์แล้ว Miolab ยังให้ความสำคัญอย่างมากกับสินทรัพย์คริปโตเคอร์เรนซี โดยการดึงไฟล์ต่างๆ เช่น .dat, .key และ .keys จากส่วนขยายกระเป๋าเงินดิจิทัลกว่า 200 รายการ นอกจากนี้ยังมุ่งเป้าไปที่แอปพลิเคชันที่ใช้ในการจัดการกระเป๋าเงินฮาร์ดแวร์ ซึ่งทำให้สามารถขโมยข้อมูลการกู้คืนที่สำคัญได้
• เครื่องมือคริปโตเป้าหมาย ได้แก่ Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper และ Wasabi Wallet

• แอปพลิเคชันต่างๆ เช่น Ledger Live, Ledger Wallet และ Trezor Suite ถูกออกแบบมาโดยเฉพาะสำหรับการดึงวลีรหัสกู้คืน 24 คำ

นอกเหนือจากเบราว์เซอร์: การส่งข้อความและการแสวงหาประโยชน์จากข้อมูลในพื้นที่

มัลแวร์นี้ขยายขอบเขตการทำงานไปยังแอปพลิเคชันด้านการสื่อสารและการทำงาน มันสามารถเข้าควบคุมเซสชันที่ใช้งานอยู่จากแพลตฟอร์มต่างๆ เช่น Telegram และ Discord ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีได้โดยไม่ต้องใช้ข้อมูลประจำตัว นอกจากนี้ยังตรวจสอบ Apple Notes ซึ่งเป็นสถานที่ที่ผู้ใช้อาจจัดเก็บข้อมูลสำคัญโดยไม่ตั้งใจ เช่น รหัสผ่านหรือวลีสำหรับกู้คืนสกุลเงินดิจิทัล

เมื่อรวบรวมข้อมูลเสร็จสิ้น Miolab จะบีบอัดข้อมูลที่ถูกขโมยลงในไฟล์ ZIP และส่งออกผ่านทาง HTTP เพื่อปกปิดการกระทำดังกล่าว มันจะแสดงข้อความแสดงข้อผิดพลาดของ macOS ที่หลอกลวง โดยระบุว่าแอปพลิเคชันไม่สามารถทำงานได้

ผลกระทบ: ต้นทุนที่แท้จริงของการติดเชื้อ

การติดมัลแวร์ Miolab อาจนำไปสู่ผลกระทบร้ายแรง ผู้เสียหายอาจประสบกับการสูญเสียทางการเงินเนื่องจากการถูกขโมยคริปโตเคอร์เรนซี การเข้าถึงบัญชีโดยไม่ได้รับอนุญาต การโจรกรรมข้อมูลส่วนบุคคล ความเสียหายต่อชื่อเสียง และความเป็นไปได้ที่จะเกิดการติดมัลแวร์เพิ่มเติมจากช่องโหว่ในครั้งแรก

ห่วงโซ่การติดเชื้อ: วิศวกรรมทางสังคมในแก่นแท้

Miolab อาศัยกลอุบายหลอกลวงอย่างมากในการแทรกซึมเข้าสู่ระบบ อาชญากรไซเบอร์เผยแพร่ซอฟต์แวร์นี้ผ่านแอปพลิเคชัน macOS ปลอมที่บรรจุในรูปแบบไฟล์อิมเมจดิสก์ (.DMG) ซึ่งถูกสร้างขึ้นอย่างพิถีพิถันให้ดูเหมือนซอฟต์แวร์ที่ถูกต้องตามกฎหมาย ตัวติดตั้งเหล่านี้มักจะมีตราสินค้า ไอคอน และส่วนติดต่อผู้ใช้ที่น่าเชื่อถือเพื่อเพิ่มความน่าเชื่อใจ

เมื่อถูกเรียกใช้งาน มัลแวร์จะเริ่มกระบวนการติดเชื้อหลายขั้นตอน มันจะแสดงอินเทอร์เฟซการติดตั้งปลอม โดยแจ้งให้ผู้ใช้ข้ามคำเตือนด้านความปลอดภัยโดยการคลิกขวาและเลือก 'เปิด' จากนั้นมันจะพยายามปิดแอปพลิเคชัน Terminal เพื่อจำกัดการมองเห็นการทำงานของมัน และจะแสดงหน้าต่างขอรหัสผ่าน macOS ปลอมขึ้นมา เพื่อหลอกให้ผู้ใช้ป้อนข้อมูลประจำตัวของระบบ

หลังจากตรวจสอบรหัสผ่านแล้ว Miolab จะรวบรวมข้อมูลระดับระบบ รวมถึงข้อมูลจำเพาะของฮาร์ดแวร์และการกำหนดค่าซอฟต์แวร์ จากนั้นจะดำเนินการสแกนไดเร็กทอรีสำคัญ เช่น เดสก์ท็อป เอกสาร และดาวน์โหลด โดยกำหนดเป้าหมายไฟล์ต่างๆ เช่น เอกสาร สเปรดชีต PDF และข้อมูลที่เกี่ยวข้องกับรหัสผ่าน ในระหว่างกระบวนการนี้ ผู้ใช้อาจพบกับคำขออนุญาต ในขณะที่มัลแวร์จะรวบรวมและเตรียมข้อมูลที่รวบรวมได้เพื่อส่งออกไปโดยไม่ให้ผู้ใช้รู้ตัว