548/68 (IT) ประจำวันพฤหัสบดีที่ 25 ธันวาคม 2568
พบมัลแวร์สายพันธุ์ใหม่บน MacOS ชื่อ MacSync Stealer ปลอมเป็นตัวติดตั้งแอปแชท zk-call ที่มีลักษณะน่าเชื่อถือ ไฟล์ดังกล่าวถูกลงลายเซ็นดิจิทัล (Code-sign) และผ่านกระบวนการ Notarization จาก Apple โดยอาศัย Developer Team ID ปลอม ทำให้ระบบมองว่าเป็นซอฟต์แวร์ที่ปลอดภัย ผู้โจมตีบรรจุไฟล์ PDF ขนาดใหญ่ที่ไม่จำเป็นเข้าไปในตัวติดตั้งเพื่อให้ขนาดไฟล์และภาพรวมดูใกล้เคียงซอฟต์แวร์ระดับมืออาชีพมากยิ่งขึ้น
เมื่อเปิดไฟล์ติดตั้ง zk-call-messenger-installer-3.9.2-lts.dmg สคริปต์ที่ฝังอยู่ภายในจะทำงานเบื้องหลัง โดยยังไม่ลงมือโจมตีทันที แต่รอจังหวะเพื่อลดโอกาสถูกตรวจจับ มัลแวร์จะสร้างไฟล์ล็อก UserSyncWorker.log เพื่อบันทึกสถานะการทำงาน หากตรวจพบว่าเคยรันไปแล้วภายใน 3,600 วินาที (1 ชั่วโมง) จะไม่ดำเนินกิจกรรมเพิ่มเติม กลยุทธ์ดังกล่าวช่วยลดความถี่ของพฤติกรรมผิดปกติที่อาจถูกตรวจพบโดยระบบรักษาความปลอดภัย
เป้าหมายหลักของ MacSync Stealer คือไฟล์ login.keychain-db ซึ่งเป็นแหล่งเก็บรหัสผ่านหลักของผู้ใช้บน MacOS โดยมัลแวร์จะแสดงหน้าต่างแจ้งเตือนปลอมให้ผู้ใช้กรอกรหัสผ่านระบบ เพื่อปลดล็อก Keychain และดึงข้อมูลทั้งหมดออกไป แม้ Apple จะเพิกถอนใบรับรองดิจิทัลที่ผู้โจมตีใช้แล้ว แต่เหตุการณ์ดังกล่าวสะท้อนให้เห็นว่า แอปที่ผ่านกระบวนการ Notarization ไม่ได้หมายความว่าปลอดภัยเสมอไป ผู้ใช้จึงควรเพิ่มความระมัดระวังเมื่อดาวน์โหลดและติดตั้งซอฟต์แวร์จากแหล่งที่ไม่คุ้นเคย แม้ MacOS จะไม่แสดงคำเตือนผิดปกติก็ตาม
แหล่งข่าว https://hackread.com/macsync-stealer-mac-app-saved-passwords/
