นักวิจัยของ Cisco Talos ค้นพบมัลแวร์แบบเจาะจงเป้าหมายบน iPhone 13 เครื่องในอินเดีย โดยใช้ Mobile Device Management (MDM) system ในการแพร่กระจาย
Mobile Device Management (MDM) system เป็นซอร์ฟแวร์สำหรับติดตั้ง และควบคุมการลงแอพพลิเคชั่นลงบนเครื่องที่ลงทะเบียนไว้กับ management system นอกจากนี้ยังสามารถตรวจสอบการJailbreak หรือ Root, ลบข้อมูลบนเครื่อง, ล็อกเครื่องจากระยะไกล และอื่นๆ การลงทะเบียนเครื่องใดๆเข้าระบบ MDM นั้น จำเป็นต้องติดตั้ง certificate ก่อน โดยวิธีที่สามารถติดตั้งบนเครื่องเหยื่อได้มี 2 วิธีคือ ผู้โจมตีสามารถเข้าถึงเครื่องได้ หรือ ผู้โจมตีหลอกผู้ใช้ด้วยวิธี social engineering ว่า certificate ดังกล่าวปลอดภัย ทำให้ผู้ใช้ยอมติดตั้ง certificate ทั้งนี้นักวิจัยคาดการณ์ว่าผู้โจมตีในครั้งนี้ใช้วิธี social engineering เนื่องจากค้นพบURL ชื่อ [hxxp://ios-certificate-update][.]com เกี่ยวข้องกับ MDM ที่ใช้ในการเผยแพร่ครั้งนี้
หลังจากที่ลงทะเบียน iPhone เข้าระบบ MDM แล้ว ผู้โจมตีได้ใช้เทคนิค BOptions sideloading ติดตั้งโค้ดอันตรายให้กับแอพที่ได้รับการยอมรับอย่าง Telegram และ WhatsApp จากนั้นทำการเผยแพร่แอพให้กับเครื่อง iPhone ที่ถูกลงทะเบียนไว้กับ MDM เมื่อเครื่องที่ถูกลงทะเบียนได้รับแอพดังกล่าวแล้ว โค้ดอันตรายจะทำการเก็บข้อมูลต่างๆบนเครื่องผู้ใช้ และส่งข้อมูลกลับมายัง server ที่ใช้ในการสั่งการมัลแวร์ นักวิจัยพบว่ามัลแวร์ดังกล่าวถูกใช้มาตั้งแต่เดือนสิงหาคม 2015 จากการวิเคราะห์ log ที่ MDM server และ server ที่ใช้ในการสั่งการ โดยยังไม่ทราบเป้าหมายที่แท้จริงของผู้โจมตีที่เผยแพร่มัลแวร์ดังกล่าว และการแพร่กระจายมัลแวร์ด้วย MDMนี้ทำการโจมตีแค่ iPhone 13 เครื่องในอินเดียเท่านั้น จึงสรุปว่าเป็นการโจมตีที่มีเป้าหมายเฉพาะเจาะจง ทั้งนี้นักวิจัยได้ประสานงานกับ Apple เพื่อยกเลิก certificates ที่เกี่ยวข้องกับมัลแวร์แล้ว
ทั้งนี้ ผู้ใช้งานควรใช้ความระมัดระวังในการคลิกlink ที่ไม่คุ้นเคย ควรใช้ความระมัดระวังในการติดตั้งสิ่งใดๆลงในเครื่อง ควรทราบว่าการลง certificate ของระบบ MDM นั้นทำให้ผู้ควบคุมระบบสามารถเข้าถึงเครื่องได้ทั้งหมด และควรทราบว่าตนเองอาจตกเป็นเหยื่อการโจมตีแบบเดียวกันได้หากลง certificate ที่ไม่ได้รับการรับรองจาก Apple
ที่มา:talosintelligence
You must be logged in to post a comment.