มัลแวร์ MacSync เวอร์ชันใหม่เลี่ยง Gatekeeper ของ macOS เพื่อขโมยคริปโต

มัลแวร์ MacSync เวอร์ชันใหม่กำลังมุ่งเป้าโจมตีผู้ใช้ macOS อย่างต่อเนื่อง นักวิจัยด้านความปลอดภัยเตือนว่า มันสามารถเลี่ยงการป้องกันที่ฝังมาในระบบของ Apple ได้ และสามารถขโมยข้อมูลสำคัญ รวมถึงวอลเล็ตคริปโตเคอร์เรนซีได้ การแจ้งเตือนมาจาก SlowMist หลังจากประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (CISO) รายงานว่ามีผู้ใช้บางรายสูญเสียสินทรัพย์ไปแล้ว มัลแวร์ตัวนี้สะท้อนให้เห็นถึงความซับซ้อนของภัยคุกคามบน macOS ที่เพิ่มขึ้น แตกต่างจากเวอร์ชันก่อนหน้า เวอร์ชันใหม่นี้สามารถหลบเลี่ยงการตรวจจับได้ ขณะเดียวกันก็แสดงตัวเหมือนเป็นซอฟต์แวร์ที่ถูกต้องต่อระบบปฏิบัติการ

มัลแวร์เลี่ยงการรักษาความปลอดภัยของ macOS ได้อย่างไร

MacSync เวอร์ชันใหม่สามารถเลี่ยง macOS Gatekeeper ซึ่งเป็นระบบที่ออกแบบมาเพื่อบล็อกแอปพลิเคชันที่ไม่น่าเชื่อถือ นักวิจัยระบุว่า มัลแวร์ใช้เทคนิคหลายชั้นเพื่อหลบการตรวจจับ เช่น การเพิ่มขนาดไฟล์เพื่อปกปิดโค้ดอันตราย การตรวจสอบเครือข่ายเพื่อยืนยันสภาพแวดล้อมในการรัน และสคริปต์ทำลายตัวเองที่ลบร่องรอยหลังจากทำงานเสร็จ

ผลที่ตามมาคือ มัลแวร์มักทิ้งหลักฐานไว้บนดิสก์น้อยมาก เมื่อถูกเรียกใช้งานแล้ว จะมุ่งเป้าไปที่ข้อมูลที่มีความอ่อนไหวสูง ซึ่งรวมถึง iCloud keychain รหัสผ่านที่เก็บไว้ในเบราว์เซอร์ และไฟล์วอลเล็ตคริปโต ในหลายกรณี ผู้โจมตีสามารถเข้าถึงข้อมูลทั้งหมดได้ก่อนที่ผู้ใช้จะรู้ตัวว่ามีสิ่งผิดปกติเกิดขึ้น

การเปลี่ยนไปใช้มัลแวร์ที่มีการลงนามโค้ดเพิ่มความเสี่ยง

การวิเคราะห์เพิ่มเติมจาก Jamf Threat Labs ชี้ว่า มัลแวร์ได้พัฒนาวิธีการแพร่กระจายไปอีกขั้น MacSync รุ่นก่อนอาศัยเทคนิควิศวกรรมสังคม เช่น การลากคำสั่งไปยังเทอร์มินัล หรือการให้ผู้ใช้รันสคริปต์ด้วยตนเอง อย่างไรก็ตาม เวอร์ชันใหม่มาในรูปแบบแอปพลิเคชัน Swift ที่มีการลงนามโค้ดและผ่านการรับรอง (notarized) ถูกแจกจ่ายผ่านไฟล์ดิสก์อิมเมจที่ดูเหมือนตัวติดตั้งซอฟต์แวร์ทั่วไป ทำให้ผ่านการตรวจสอบเบื้องต้นของ macOS ได้โดยไม่กระตุ้นการแจ้งเตือน

หลังจากเปิดใช้งาน แอปจะดาวน์โหลดและรันเพย์โหลดระยะที่สองอย่างเงียบ ๆ กิจกรรมส่วนใหญ่เกิดขึ้นในหน่วยความจำ ซึ่งลดโอกาสถูกตรวจจับโดยโปรแกรมแอนติไวรัสแบบดั้งเดิม นักวิจัยระบุว่านี่สะท้อนแนวโน้มในวงกว้าง มัลแวร์บน macOS จำนวนมากขึ้นหันมาใช้ไฟล์ปฏิบัติการที่มีการลงนามและรับรอง เพื่อสร้างภาพลักษณ์ความน่าเชื่อถือและชะลอการถูกค้นพบ

วอลเล็ตคริปโตยังคงเป็นเป้าหมายหลัก

การที่มัลแวร์มุ่งเป้าไปที่วอลเล็ตคริปโตตอกย้ำความเสี่ยงที่เพิ่มขึ้นสำหรับผู้ถือสินทรัพย์ดิจิทัล เมื่อผู้โจมตีดึงคีย์ส่วนตัวหรือข้อมูลกู้คืนออกไปได้แล้ว เงินที่ถูกขโมยมักไม่สามารถกู้คืนได้ รายงานระบุว่าผู้ใช้บางรายสูญเสียคริปโตไม่นานหลังจากติดมัลแวร์ โดยไม่พบสัญญาณของการทำธุรกรรมที่ถูกบังคับหรือการแฮ็กแพลตฟอร์มซื้อขาย ผู้โจมตีเข้าถึงวอลเล็ตโดยตรงจากอุปกรณ์ที่ถูกเจาะระบบ ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่า ผู้ใช้คริปโตมีความเสี่ยงเป็นพิเศษ เนื่องจากหลายคนเก็บวอลเล็ต ส่วนขยายเบราว์เซอร์ และข้อมูลรับรองต่าง ๆ ไว้ในแล็ปท็อปส่วนตัวโดยไม่มีการป้องกันเพิ่มเติม

ผู้ใช้ควรทำอย่างไรต่อไป

SlowMist แนะนำให้ผู้ใช้ macOS หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์หรือปลั๊กอินจากแหล่งที่ไม่รู้จัก แม้แต่ตัวติดตั้งที่ดูน่าเชื่อถือก็อาจแฝงความเสี่ยง ผู้เชี่ยวชาญยังแนะนำให้เปิดใช้เครื่องมือป้องกันภัยคุกคามขั้นสูง อัปเดตระบบอย่างสม่ำเสมอ และเก็บสินทรัพย์คริปโตไว้ในฮาร์ดแวร์วอลเล็ตเมื่อเป็นไปได้ ผู้ใช้ควรระมัดระวังกับตัวติดตั้งหรือการแจ้งเตือนด้านความปลอดภัยที่ไม่คาดคิด โดยเฉพาะในช่วงที่ผู้โจมตีปรับปรุงเทคนิคอย่างต่อเนื่อง macOS จึงไม่ใช่สภาพแวดล้อมที่มีความเสี่ยงต่ำอีกต่อไป กรณีของ MacSync แสดงให้เห็นว่า แม้แต่การป้องกันที่ฝังมาในระบบก็ยังถูกเลี่ยงได้ ดังนั้น สำหรับผู้ถือคริปโต ความระมัดระวังยังคงเป็นสิ่งจำเป็นอย่างยิ่ง