180/69 (IT) ประจำวันจันทร์ที่ 30 มีนาคม 2569
Malwarebytes รายงานการตรวจพบแคมเปญ ClickFix รูปแบบใหม่ที่มุ่งเป้าไปที่ผู้ใช้งาน macOS โดยใช้หน้ายืนยันตัวตนปลอมที่เลียนแบบหน้า Cloudflare เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูลที่เขียนด้วยภาษา Python การโจมตีเริ่มจากการหลอกให้เหยื่อเข้าไปยังหน้า CAPTCHA ปลอมที่เหมือนของจริง ก่อนใช้เทคนิค Social Engineering หลอกให้ผู้ใช้คัดลอกคำสั่งไปวางและรันใน Terminal ของเครื่อง ซึ่งเทคนิค ClickFix ถูกใช้อย่างแพร่หลายตั้งแต่เดือนสิงหาคม 2024 โดยเน้นโจมตีผู้ใช้ Windows เป็นหลัก แต่ในช่วงครึ่งปีที่ผ่านมาเริ่มถูกปรับให้แนบเนียนเพื่อใช้โจมตีผู้ใช้ macOS มากขึ้น
เมื่อเหยื่อรันคำสั่งดังกล่าว ระบบจะดาวน์โหลด Bash script จากเซิร์ฟเวอร์ภายนอกมาทำงาน โดยสคริปต์จะถอดรหัสเพย์โหลดที่ฝังไว้ และเขียนไฟล์ไบนารีลงในโฟลเดอร์ชั่วคราว พร้อมทั้งลบสถานะของไฟล์ก่อนเริ่มทำงาน ไฟล์ไบนารีที่ถูกปล่อยลงเครื่องคือ Loader ที่คอมไพล์ด้วย Nuitka ซึ่งเป็นเครื่องมือแปลงโค้ด Python ให้เป็นไฟล์ไบนารี ทำให้การวิเคราะห์แบบ Static Analysis ทำได้ยากขึ้น จากนั้น Loader จะถอดข้อมูลที่ซ่อนอยู่และรันมัลแวร์ตัวสุดท้ายที่ชื่อว่า Infiniti Stealer
มัลแวร์ Infiniti Stealer มีความสามารถในการขโมยข้อมูลสำคัญหลายประเภท อาทิ ข้อมูลประจำตัวจากเบราว์เซอร์ ข้อมูลใน Keychain กระเป๋าเงินคริปโท ข้อมูลลับในไฟล์สำหรับนักพัฒนา รวมถึงการจับภาพหน้าจอระหว่างทำงาน ข้อมูลเหล่านี้จะถูกส่งไปยังเซิร์ฟเวอร์ควบคุม ผ่าน HTTP POST และส่งการแจ้งเตือนไปยังช่องทาง Telegram นอกจากนี้ มัลแวร์ยังใช้เทคนิคการหลบเลี่ยงด้วยการสุ่มหน่วงเวลาการทำงานและตรวจสอบว่าเครื่องเป้าหมายเป็นสภาพแวดล้อมสำหรับการวิเคราะห์หรือไม่ ผู้เชี่ยวชาญระบุว่านี่คือการปรับเปลี่ยนเทคนิคที่เคยใช้ได้ผลบน Windows มาใช้กับผู้ใช้ Mac โดยเพิ่มความซับซ้อนในการตรวจจับและการวิเคราะห์
แหล่งข่าว https://www.securityweek.com/cloudflare-themed-clickfix-attack-drops-infiniti-stealer-on-macs/