ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานของนักวิจัยของ Microsoft พบการโจมตีในรูปแบบ ClickFix บน macOS ด้วยคู่มือปลอมบน Medium และ Craft เพื่อติดตั้งมัลแวร์และขโมยข้อมูล [1]
1. รายละเอียด
ผู้โจมตีจะสร้างหน้าเว็บไซต์ปลอมบนแพลตฟอร์มที่ดูน่าเชื่อถือ เช่น Medium, Craft และ Squarespace โดยอ้างว่าเป็นบทความหรือคู่มือสำหรับแก้ไขปัญหาทั่วไปของ macOS เช่น
1.1 พื้นที่จัดเก็บข้อมูลเต็ม
1.2 ระบบทำงานช้า
1.3 ข้อผิดพลาดของระบบ
1.4 การติดตั้งเครื่องมือสำหรับนักพัฒนา
เมื่อผู้ใช้งานเปิดเว็บไซต์ดังกล่าว ระบบจะหลอกให้คัดลอกคำสั่งและนำไปรันผ่าน Terminal ภายใต้ข้ออ้างว่าเป็น “เครื่องมือช่วยแก้ปัญหา” หรือ “คำสั่งสำหรับเพิ่มประสิทธิภาพของระบบ” แต่คำสั่งดังกล่าวจะดาวน์โหลดและติดตั้งมัลแวร์ประเภท Information Stealer ลงในเครื่องทันที โดยมัลแวร์ที่พบ ได้แก่ Atomic macOS Stealer (AMOS), MacSync และ SHub Stealer มัลแวร์ดังกล่าวสามารถขโมยข้อมูลสำคัญจากอุปกรณ์ได้ เช่น ข้อมูลบัญชี iCloud, รหัสผ่านจาก Keychain, Cookies และข้อมูลเบราว์เซอร์ รวมถึง เอกสาร รูปภาพ และไฟล์สำคัญภายในเครื่อง
2. ลักษณะการโจมตี
การโจมตีลักษณะนี้ไม่จำเป็นต้องอาศัยช่องโหว่ของระบบปฏิบัติการ แต่ใช้การหลอกลวงให้ผู้ใช้งานดำเนินการด้วยตนเอง ส่งผลให้สามารถหลีกเลี่ยงระบบป้องกันบางส่วนของ macOS เช่น Gatekeeper ได้ เนื่องจากระบบมองว่าเป็นการรันคำสั่งโดยผู้ใช้สมัครใจ
**ปัจจุบันพบว่า ClickFix มีแนวโน้มการโจมตีที่เพิ่มขึ้นอย่างต่อเนื่อง
3. ผลกระทบที่เกิดขึ้น
ผู้ที่ตกเป็นเหยื่ออาจได้รับผลกระทบ ดังนี้
3.1 ข้อมูลบัญชี Apple และ iCloud ถูกขโมย
3.2 ถูกเข้าถึงข้อมูลส่วนบุคคลและไฟล์สำคัญ
3.3 สูญเสียข้อมูลบัญชีธนาคารหรือคริปโตเคอร์เรนซี
3.4 ถูกยึดบัญชีออนไลน์หรือใช้ข้อมูลไปโจมตีเพิ่มเติม
3.5 อาจถูกติดตั้งมัลแวร์เพิ่มเติมเพื่อควบคุมเครื่องในระยะยาว
4. แนวทางการป้องกันและลดความเสี่ยง
หน่วยงานและผู้ใช้งานควรดำเนินการ ดังนี้
4.1 หลีกเลี่ยงการคัดลอกหรือรันคำสั่งผ่าน Terminal จากเว็บไซต์ที่ไม่น่าเชื่อถือ
4.2 ตรวจสอบ URL และแหล่งที่มาของคู่มือหรือบทความก่อนดำเนินการใด ๆ
4.3 หลีกเลี่ยงการคลิกลิงก์จากโฆษณา Search Ads หรือเว็บไซต์ที่ไม่เป็นทางการ
4.4 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชี Apple ID และบริการสำคัญ
4.5 ตรวจสอบสิทธิ์การเข้าถึง Keychain และข้อมูล Browser อย่างสม่ำเสมอ
4.6 เฝ้าระวังการใช้งาน Terminal และการเชื่อมต่อออกไปยังโดเมนที่ผิดปกติภายในองค์กร
แหล่งอ้างอิง