ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามรายงานภัยคุกคามมัลแวร์ชื่อ Reaper ซึ่งเป็นมัลแวร์ขโมยข้อมูลบนระบบปฏิบัติการ macOS โดยผู้โจมตีใช้เว็บไซต์ดาวน์โหลดปลอมที่แอบอ้างเป็นซอฟต์แวร์ยอดนิยม เช่น WeChat และ Miro รวมถึงใช้โดเมนที่เลียนแบบชื่อ Microsoft เพื่อเพิ่มความน่าเชื่อถือและหลอกให้ผู้ใช้งานดาวน์โหลดมัลแวร์ [1]
1. รายละเอียดภัยคุกคาม
นักวิจัยจาก SentinelLABS ของ SentinelOne ระบุว่า Reaper เป็นมัลแวร์ขโมยข้อมูลบน macOS ที่ใช้แบรนด์หรือชื่อซอฟต์แวร์ที่ผู้ใช้คุ้นเคยในการหลอกลวง เช่น หน้าเว็บติดตั้งปลอมของ WeChat หรือ Miro โดเมนปลอมที่เลียนแบบ Microsoft และข้อความหลอกว่าเป็นการอัปเดตความปลอดภัยของ Apple
มัลแวร์ดังกล่าวใช้โดเมนลักษณะ typo-squatting หรือโดเมนที่สะกดคล้ายชื่อบริการจริง เช่น mlcrosoft[.]co[.]com เพื่อหลอกให้ผู้ใช้งานเข้าใจว่าเกี่ยวข้องกับ Microsoft ทั้งที่เป็นโดเมนอันตรายที่ใช้แพร่กระจายมัลแวร์
2. ลักษณะการโจมตี
2.1 ผู้ใช้งานอาจถูกหลอกให้เข้าเว็บไซต์ดาวน์โหลดปลอมของ WeChat หรือ Miro จากนั้นเว็บไซต์จะตรวจสอบข้อมูลของเครื่อง เช่น IP address, เบราว์เซอร์ ตำแหน่ง และสภาพแวดล้อมของเครื่อง เพื่อคัดกรองเป้าหมายและหลีกเลี่ยงการตรวจจับ
2.2 ผู้โจมตีพยายามหลอกให้ผู้ใช้เปิดแอป Script Editor บน macOS และกด Run เพื่อรันสคริปต์อันตราย โดยแสดงข้อความปลอมว่าเป็นการดาวน์โหลดอัปเดตความปลอดภัยของ Apple ขณะเดียวกันสคริปต์จะดาวน์โหลดมัลแวร์จากอินเทอร์เน็ตมาติดตั้งในเครื่อง
2.3 เมื่อมัลแวร์เริ่มทำงาน Reaper จะหลอกให้ผู้ใช้งานกรอกรหัสผ่าน macOS ผ่านหน้าต่างแจ้งเตือนปลอม จากนั้นนำรหัสผ่านไปใช้ขโมยข้อมูลจากเบราว์เซอร์และแอปพลิเคชันต่าง ๆ เช่น Chrome, Firefox และแอปอื่น ๆ ที่มีข้อมูลสำคัญ
2.4 Reaper ยังสามารถค้นหาไฟล์ในโฟลเดอร์ Desktop และ Documents ที่อาจมีข้อมูลทางธุรกิจหรือการเงิน รวมถึงสร้างกลไกฝังตัวถาวรโดยปลอมเป็น Google Software Update เพื่อให้สามารถติดต่อกับเซิร์ฟเวอร์ของผู้โจมตีและรับคำสั่งเพิ่มเติมได้ [2]
3. ผลกระทบ
3.1 ผู้โจมตีอาจขโมยรหัสผ่านเข้าสู่ระบบ macOS และข้อมูลยืนยันตัวตนของผู้ใช้งาน
3.2 ข้อมูลจากเบราว์เซอร์ password manager และ session ที่บันทึกไว้อาจรั่วไหล
3.3 ผู้ใช้งาน cryptocurrency wallet มีความเสี่ยงต่อการถูกขโมยสินทรัพย์ดิจิทัล
3.4 ไฟล์เอกสารทางธุรกิจ การเงิน หรือไฟล์สำคัญในเครื่องอาจถูกขโมยออกไป
3.5 เครื่องที่ถูกโจมตีอาจถูกฝัง Backdoor เพื่อให้ผู้โจมตีสั่งรันคำสั่งหรือติดตั้งมัลแวร์เพิ่มเติมในภายหลัง
4. ผู้ใช้งานที่ควรเฝ้าระวัง
4.1 ผู้ใช้งาน macOS ที่ดาวน์โหลดแอปจากเว็บไซต์ที่ไม่ใช่แหล่งทางการ
4.2 ผู้ใช้งานที่ถูกหลอกให้เปิด Script Editor ผ่านลิงก์บนเว็บไซต์
4.3 ผู้ใช้งานที่เก็บข้อมูลสำคัญไว้ในเบราว์เซอร์ password manager หรือ cryptocurrency wallet
4.4 องค์กรที่อนุญาตให้ผู้ใช้ติดตั้งซอฟต์แวร์เองโดยไม่มีการควบคุม
4.5 เครื่อง macOS ที่ไม่มีระบบตรวจจับพฤติกรรมผิดปกติ เช่น การเรียกใช้สคริปต์ การสร้าง LaunchAgent หรือการเชื่อมต่อไปยังโดเมนต้องสงสัย
5. แนวทางการตรวจสอบและป้องกัน
5.1 ดาวน์โหลด WeChat, Miro หรือซอฟต์แวร์อื่น ๆ จากเว็บไซต์ทางการหรือแหล่งที่องค์กรอนุญาตเท่านั้น
5.2 หากเว็บไซต์พยายามเปิด Script Editor โดยอัตโนมัติ ให้ปิดหน้าต่างดังกล่าวทันที และไม่ควรกด Run
5.3 ตรวจสอบการเชื่อมต่อไปยังโดเมนต้องสงสัย เช่น mlcrosoft[.]co[.]com, mlroweb[.]com, qq-0732gwh22[.]com และ hebsbsbzjsjshduxbs[.]xyz
5.4 ตรวจสอบไฟล์หรือรายการฝังตัวถาวรที่แอบอ้างเป็น Google Software Update
5.5 เฝ้าระวังพฤติกรรมผิดปกติ เช่น Script Editor เรียกใช้คำสั่งดาวน์โหลดไฟล์จากอินเทอร์เน็ตโดยไม่ได้รับอนุญาต
5.6 ใช้ endpoint protection หรือ EDR ที่สามารถตรวจจับพฤติกรรมการขโมยข้อมูล การสร้าง LaunchAgent และการเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุม
5.7 จำกัดสิทธิ์ผู้ใช้ในการติดตั้งแอปพลิเคชันจากแหล่งที่ไม่ผ่านการตรวจสอบ
5.8 หากสงสัยว่าเครื่องถูกโจมตี ให้เปลี่ยนรหัสผ่านบัญชีสำคัญ ตรวจสอบ password manager และ cryptocurrency wallet ทันที
แหล่งอ้างอิง