256/69 (IT) ประจำวันอังคารที่ 12 พฤษภาคม 2569
มีรายงานการพบแคมเปญโฆษณาประสงค์ร้ายที่พุ่งเป้าโจมตีผู้ใช้งานระบบปฏิบัติการ macOS ซึ่งกำลังค้นหาโปรแกรม Claude เพื่อนำมาติดตั้งบนเครื่องคอมพิวเตอร์ ผู้โจมตีได้อาศัยการซื้อพื้นที่โฆษณาบน Google Ads โดยผูกลิงก์ปลายทางไปยังหน้าแชร์แชทบนโดเมนทางการของ Claude.ai ซึ่งทำให้ผู้ใช้งานหลงเชื่อว่าเป็นเว็บไซต์ที่ปลอดภัย เหตุการณ์นี้มีความสำคัญอย่างยิ่งเนื่องจากเป็นการใช้ความน่าเชื่อถือของแพลตฟอร์มปัญญาประดิษฐ์ที่ถูกกฎหมายเพื่อหลบเลี่ยงการตรวจสอบและสร้างความตระหนักให้แก่ผู้ใช้ นำไปสู่การหลอกลวงให้รันคำสั่งอันตรายและติดตั้งมัลแวร์ขโมยข้อมูลในที่สุด
รูปแบบการโจมตีเริ่มต้นเมื่อผู้ใช้ค้นหาคำว่าดาวน์โหลด Claude สำหรับเครื่อง Mac และคลิกโฆษณาที่ปรากฏ โดยระบบจะนำทางไปยังหน้าแชทของ Claude.ai ที่ถูกสร้างเนื้อหาแอบอ้างว่าเป็นคู่มือการติดตั้งจากฝ่ายสนับสนุนของ Apple เนื้อหาในแชทจะหลอกให้ผู้ใช้คัดลอกคำสั่งเพื่อไปรันในโปรแกรม Terminal ซึ่งคำสั่งดังกล่าวมีการเข้ารหัสเพื่อซ่อนที่อยู่ปลายทางที่แท้จริง เมื่อคำสั่งทำงาน ระบบจะดาวน์โหลดสคริปต์มาทำงานในหน่วยความจำผ่านกระบวนการ osascript ของ macOS โดยไม่ทิ้งร่องรอยไฟล์ไว้บนดิสก์ จากการวิเคราะห์โค้ดพบว่ามัลแวร์มีการตรวจสอบภาษาของคีย์บอร์ดในเครื่อง หากพบว่าเป็นกลุ่มประเทศ CIS หรือรัสเซีย สคริปต์จะหยุดทำงานทันที แต่หากไม่พบ มัลแวร์สายพันธุ์ MacSync จะดำเนินการรวบรวมข้อมูลสำคัญ เช่น รหัสผ่านในเบราว์เซอร์ คุกกี้ และข้อมูลในระบบ macOS Keychain เพื่อส่งกลับไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี
เพื่อลดความเสี่ยงจากภัยคุกคามรูปแบบนี้ ผู้ใช้งานควรหลีกเลี่ยงการคลิกลิงก์ผู้สนับสนุนผ่านเครื่องมือค้นหา และควรพิมพ์ที่อยู่เว็บไซต์ทางการของ Anthropic โดยตรงเมื่อต้องการดาวน์โหลดซอฟต์แวร์ ข้อควรระวังที่สำคัญที่สุดคือต้องไม่คัดลอกคำสั่งใด ๆ ไปรันบน Terminal อย่างเด็ดขาดหากไม่เข้าใจการทำงานของคำสั่งนั้น ไม่ว่าข้อมูลดังกล่าวจะถูกนำเสนอผ่านแพลตฟอร์มที่น่าเชื่อถือก็ตาม สำหรับผู้ดูแลระบบองค์กร ควรเฝ้าระวังพฤติกรรมการทำงานที่น่าสงสัยของระบบ โดยเฉพาะการเรียกใช้โปรเซส curl ร่วมกับการประมวลผลผ่านคำสั่งที่เกี่ยวข้องกับระบบปฏิบัติการโดยตรง เพื่อใช้เป็นแนวทางในการตรวจสอบและป้องกันความเสียหายเบื้องต้นภายในองค์กร