ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบรายงานแคมเปญผู้โจมตีอาศัยเทคนิค ClickFix เพื่อหลอกลวงผู้ใช้งาน macOS ด้วยหน้าเว็บปลอมที่อ้างว่าเป็นการยืนยันตัวตนหรือการแก้ปัญหา เพื่อให้ผู้ใช้งานหลงเชื่อและรันคำสั่งอันตรายด้วยตนเอง การรันคำสั่งดังกล่าว จะนำไปสู่การดาวน์โหลดและติดตั้งไฟล์ดิสก์อิมเมจ (DMG) แบบซ่อนการแสดงผล ซึ่งจะฝังมัลแวร์ขโมยข้อมูล (Infostealer) ลงในเครื่องของเหยื่อ ผู้ที่ได้รับผลกระทบคือผู้ใช้งานระบบปฏิบัติการ macOS ที่เข้าชมเว็บไซต์อันตรายและปฏิบัติตามคำแนะนำปลอม ความเสี่ยงที่เกิดขึ้นคือ ข้อมูลบัญชีผู้ใช้ รหัสผ่าน ข้อมูลเบราว์เซอร์ และบัญชีขององค์กรอาจถูกขโมย และนำไปใช้เพื่อเป็นจุดเริ่มต้นในการโจมตีระบบอื่นอย่างต่อเนื่อง[1]
1. รายละเอียดภัยคุกคาม
แคมเปญใช้หน้าเว็บหลอกลวงที่ออกแบบให้ผู้ใช้เชื่อว่าต้องดำเนินการบางอย่างเพื่อแก้ปัญหาหรือผ่านการตรวจสอบ เช่น การยืนยันว่าไม่ใช่บอต หรือทำตามขั้นตอนที่เว็บไซต์แสดงให้เห็น จากนั้นเว็บไซต์จะนำผู้ใช้ไปสู่การดาวน์โหลดไฟล์ DMG สำหรับ macOS โดยไฟล์ดังกล่าวอาจถูกใช้เพื่อติดตั้งมัลแวร์ประเภท Infostealer ซึ่งมีเป้าหมายในการขโมยข้อมูลสำคัญจากเครื่องของผู้ใช้งาน
เทคนิค ClickFix เป็นรูปแบบ Social Engineering ที่อาศัยการหลอกให้ผู้ใช้แก้ปัญหาเอง ผ่านคำแนะนำบนหน้าเว็บ แทนการโจมตีช่องโหว่โดยตรง ทำให้ผู้ใช้เป็นผู้เปิดไฟล์หรือรันคำสั่งอันตรายด้วยตนเอง
2. ลักษณะการโจมตีที่พบ
2.1 ผู้ใช้เข้าชมเว็บไซต์หรือหน้าเว็บปลอมที่ถูกใช้เป็นส่วนหนึ่งของแคมเปญ เช่น หน้า CAPTCHA ปลอม หรือหน้าแจ้งเตือนให้แก้ไขปัญหา
2.2 หน้าเว็บแสดงคำแนะนำให้ผู้ใช้เปิด Terminal และวางคำสั่งที่ผู้โจมตีเตรียมไว้ โดยอ้างว่าเป็นขั้นตอนยืนยันตัวตนหรือแก้ไขปัญหา
2.3 เมื่อผู้ใช้รันคำสั่งจะดาวน์โหลดไฟล์ DMG อันตรายจากเซิร์ฟเวอร์ของผู้โจมตี และ mount ไฟล์ดังกล่าวแบบไม่แสดงให้เห็นบน Finder หรือ Desktop
2.4 ระบบจะค้นหาแอปพลิเคชันหรือไฟล์ติดตั้งภายใน DMG และเปิดใช้งานโดยอัตโนมัติ เพื่อติดตั้งมัลแวร์ขโมยข้อมูล Atomic macOS Stealer (AMOS)
2.5 เมื่อติดตั้งสำเร็จ มัลแวร์อาจพยายามขโมยข้อมูลสำคัญจากเครื่องผู้ใช้ เช่น ข้อมูลบัญชี ข้อมูลเบราว์เซอร์ หรือข้อมูลที่เกี่ยวข้องกับการใช้งานระบบ
3. ผลกระทบที่อาจเกิดขึ้น
3.1 ข้อมูลบัญชีผู้ใช้งาน รหัสผ่าน หรือข้อมูลสำคัญบนเครื่อง macOS อาจถูกขโมย
3.2 ข้อมูลจากเบราว์เซอร์ เช่น คุกกี้ ประวัติการใช้งาน ข้อมูลเข้าสู่ระบบ หรือข้อมูลการชำระเงินที่บันทึกไว้ อาจรั่วไหล
3.3 บัญชีองค์กรที่เคยใช้งานบนเครื่องดังกล่าวอาจถูกนำไปใช้เข้าถึงระบบอื่น หรือใช้เป็นจุดเริ่มต้นในการโจมตีต่อเนื่องภายในองค์กร
4. แนวทางการป้องกันและลดความเสี่ยง
4.1 หลีกเลี่ยงการดาวน์โหลด เปิด หรือ mount ไฟล์ DMG จากเว็บไซต์ที่ไม่น่าเชื่อถือ หรือจากคำแนะนำบนหน้าเว็บที่ไม่สามารถยืนยันแหล่งที่มาได้
4.2 ไม่ปฏิบัติตามคำแนะนำจากหน้าเว็บที่ให้เปิด Terminal วางคำสั่ง หรือแก้ไขการตั้งค่าระบบ โดยเฉพาะหน้าเว็บที่อ้างว่าเป็น CAPTCHA การยืนยันตัวตน การแก้ไขเบราว์เซอร์ หรือขั้นตอนแก้ปัญหาการใช้งาน
4.3 อัปเดต macOS, เบราว์เซอร์ และซอฟต์แวร์รักษาความปลอดภัยให้เป็นเวอร์ชันล่าสุด
4.4 ใช้มาตรการควบคุมการติดตั้งแอป เช่น อนุญาตเฉพาะแอปจากแหล่งที่เชื่อถือได้ และจำกัดสิทธิ์ผู้ใช้งานตามความจำเป็น
4.5 เฝ้าระวังการเชื่อมต่อออกไปยังปลายทางที่ไม่คุ้นเคย การเปิด DMG ผิดปกติ หรือการติดตั้งแอปที่ไม่ได้รับอนุญาต
4.6 หากสงสัยว่าติดมัลแวร์ ให้แยกเครื่องออกจากเครือข่าย ตรวจสอบ Log และเปลี่ยนรหัสผ่านบัญชีที่เคยใช้งานบนเครื่องดังกล่าว
แหล่งอ้างอิง
[1] https://dg.th/97x48ayeo5