โพไซดอนขโมย
ตรงกันข้ามกับความเชื่อที่นิยม อุปกรณ์ macOS ไม่สามารถต้านทานภัยคุกคามจากมัลแวร์ได้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์ประเภทขโมยตัวใหม่ นั่นคือ Poseidon Stealer ซึ่งมุ่งเป้าไปที่ผู้ใช้ Mac โดยเฉพาะ
สารบัญ
ภาพรวมของผู้ขโมยโพไซดอน
Poseidon Stealer เป็นมัลแวร์ที่ซับซ้อนซึ่งตั้งโปรแกรมให้ดึงข้อมูลที่ละเอียดอ่อนจำนวนมากจากอุปกรณ์ macOS ซึ่งรวมถึงไฟล์ ข้อมูลการเข้าสู่ระบบ กระเป๋าเงินดิจิทัล และข้อมูลส่วนบุคคลอื่นๆ ระบุครั้งแรกในช่วงต้นฤดูร้อนปี 2024 พบว่าโพไซดอนแพร่กระจายผ่านโฆษณา Google ที่ฉ้อโกง ซึ่งแสดงให้เห็นถึงการเข้าถึงในวงกว้างและกลยุทธ์อันชาญฉลาดที่นักพัฒนาใช้
ฟังก์ชั่นและความสามารถ
โพไซดอนเริ่มต้นด้วยการรวบรวมข้อมูลอุปกรณ์ที่จำเป็น เช่น ข้อมูลฮาร์ดแวร์ ชื่ออุปกรณ์ และรายละเอียดระบบปฏิบัติการ เมื่ออุปกรณ์ติดไวรัส ขั้นตอนเริ่มต้นนี้เป็นสิ่งสำคัญสำหรับมัลแวร์ในการทำความเข้าใจสภาพแวดล้อมที่มันแทรกซึม
การจับไฟล์ที่ปรับแต่งได้
ตามเอกสารส่งเสริมการขายที่นักพัฒนาของโพไซดอนใช้ มัลแวร์นี้มีความสามารถในการจับไฟล์ที่ปรับแต่งได้ มันสามารถแยกเนื้อหาจากแอพพลิเคชั่น Notes, รูปภาพที่จัดเก็บไว้ใน Notes และพวงกุญแจ ซึ่งเป็นตัวจัดการรหัสผ่านดั้งเดิมของ macOS ความยืดหยุ่นนี้ทำให้โพไซดอนคุกคามเป็นพิเศษ เนื่องจากสามารถสั่งให้กำหนดเป้าหมายข้อมูลประเภทเฉพาะตามความต้องการของผู้โจมตีได้
การโจรกรรมข้อมูลเบราว์เซอร์
โพไซดอนยังกำหนดเป้าหมายข้อมูลจากเบราว์เซอร์ต่างๆ รวมถึง Google Chrome, Safari, Mozilla Firefox, Microsoft Edge และ Opera ข้อมูลที่ค้นหารวมถึงประวัติการเข้าชม ประวัติเครื่องมือค้นหา คุกกี้อินเทอร์เน็ต ข้อมูลการเข้าสู่ระบบ รายละเอียดส่วนบุคคล และหมายเลขบัตรเครดิต เป้าหมายที่หลากหลายนี้บ่งชี้ว่าโพไซดอนได้รับการออกแบบมาเพื่อเพิ่มปริมาณข้อมูลที่สามารถนำมาใช้ประโยชน์ได้มากที่สุดซึ่งสามารถรวบรวมจากอุปกรณ์ที่ติดไวรัสได้
กระเป๋าเงิน Cryptocurrency และอีกมากมาย
โพไซดอนสามารถรวบรวมข้อมูลจากกระเป๋าเงินดิจิทัลที่แตกต่างกันมากกว่า 160 กระเป๋า นอกจากนี้ยังกำหนดเป้าหมายข้อมูลที่เกี่ยวข้องกับผู้จัดการรหัสผ่าน ไคลเอนต์ FTP และไคลเอนต์ VPN แม้ว่าความสามารถในการขโมยการกำหนดค่า VPN จะยังไม่ได้รับการพัฒนาอย่างสมบูรณ์ แต่การรวมไว้ในสื่อส่งเสริมการขายแสดงให้เห็นว่าการทำซ้ำในอนาคตของ Poseidon อาจมีฟังก์ชันการทำงานนี้
วิธีการกระจายผู้ขโมยโพไซดอน
หนึ่งในวิธีการหลักที่โพไซดอนใช้ในการแพร่กระจายคือการใช้มัลแวร์โฆษณา โดยเฉพาะโฆษณา Google ที่ฉ้อโกง อาชญากรไซเบอร์ใช้ประโยชน์จากบริการโฆษณาที่ถูกกฎหมายเพื่อวางโฆษณาที่เป็นอันตรายทับผลลัพธ์ของเครื่องมือค้นหา นอกจากนี้ โพไซดอนยังถูกเผยแพร่ผ่านเว็บไซต์ปลอมที่ส่งเสริมเบราว์เซอร์ Arc โดยตัวติดตั้งดูเหมือนเป็นของแท้ แต่มีคำแนะนำที่ไม่ปลอดภัยในการหลีกเลี่ยงมาตรการรักษาความปลอดภัย
เทคนิคที่เป็นไปได้อื่น ๆ
แม้ว่ามัลแวร์โฆษณาและเว็บไซต์ปลอมจะเป็นวิธีการเผยแพร่ที่มีชื่อเสียงที่สุด แต่เทคนิคอื่นๆ ก็มีแนวโน้มเช่นกัน นักพัฒนาของโพไซดอนกำลังขายมัลแวร์บนฟอรัมของแฮ็กเกอร์ โดยแนะนำว่าวิธีการเผยแพร่อาจแตกต่างกันไปขึ้นอยู่กับผู้โจมตีที่ใช้งาน
วิธีการกระจายมัลแวร์ทั่วไป
มัลแวร์เช่นโพไซดอนมักแพร่กระจายผ่านฟิชชิ่งและเทคนิควิศวกรรมสังคม โดยปลอมแปลงเป็นหรือรวมเข้ากับซอฟต์แวร์หรือไฟล์สื่อที่ถูกต้องตามกฎหมาย วิธีการกระจายทั่วไป ได้แก่ :
- การดาวน์โหลดโดยไดรฟ์ : การดาวน์โหลดที่หลอกลวงซึ่งเกิดขึ้นโดยที่ผู้ใช้ไม่ทราบ
- ไฟล์แนบ/ลิงก์ที่เป็นการฉ้อโกง : ส่งผ่านอีเมลขยะ ข้อความส่วนตัว หรือโพสต์บนโซเชียลมีเดีย
- กลยุทธ์ออนไลน์และมัลแวร์โฆษณา : แผนการและการโฆษณาที่เป็นการฉ้อโกง
- แหล่งดาวน์โหลดที่ไม่น่าเชื่อถือ : ไซต์ฟรีแวร์ เครือข่ายเพียร์ทูเพียร์ และเนื้อหาละเมิดลิขสิทธิ์
- การอัปเดตซอฟต์แวร์ปลอม : หลอกให้ผู้ใช้ติดตั้งซอฟต์แวร์หลอกลวงซึ่งปลอมตัวเป็นการอัปเดต
- การแพร่กระจายในตัวเอง : มัลแวร์บางตัวสามารถแพร่กระจายผ่านเครือข่ายท้องถิ่นหรืออุปกรณ์จัดเก็บข้อมูลแบบถอดได้ เช่น แฟลชไดรฟ์ USB
Poseidon Stealer แสดงถึงภัยคุกคามที่สำคัญต่อผู้ใช้ macOS โดยเน้นว่าอุปกรณ์ Mac ไม่ได้รับการปกป้องจากมัลแวร์ ด้วยการทำความเข้าใจความสามารถและวิธีการเผยแพร่ของโพไซดอน ผู้ใช้สามารถดำเนินการเพื่อปกป้องข้อมูลของตนและยังคงเฝ้าระวังภัยคุกคามที่ซับซ้อนดังกล่าวได้
