นักวิจัยค้นพบ Calisto มัลแวร์ใน macOS ซึ่งเป็นมัลแวร์ตั้งต้นของมัลแวร์ชื่อดัง Proton
นักวิจัยด้านมัลแวร์จาก Kaspersky Labเปิดเผยมัลแวร์ Calisto ซึ่งเน้นโจมตี macOS โดยเชื่อว่าน่าจะเป็นมัลแวร์ตั้งต้นของมัลแวร์ Proton ที่แพร่ระบาดในปี 2017
Proton เป็นมัลแวร์ที่โจมตีเครื่องคอมพิวเตอร์ที่ใช้ macOS เป็น remote access trojan (RAT) เมื่อคอมพิวเตอร์ดังกล่าวติดเชื้อแล้วจะทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ติดเชื้อได้เต็มรูปแบบ ชื่อของ Proton เริ่มเป็นที่รู้จักครั้งแรกในเดือนมีนาคม ปี 2017 เมื่อนักวิจัยจาก Sixgill เจอการซื้อขาย Proton ในเว็บบอร์ดแฮกเกอร์ใต้ดินด้วยราคาตั้งแต่ 1200 ดอลลาร์สหรัฐ (ประมาณ 40,000 บาท) ไปจนถึง 820,000 ดอลลาร์สหรัฐ (ประมาณ27ล้านบาท) หลังจากนั้นไม่นานในเดือนพฤษภาคม ปี 2017 มีการแฮกเว็บไซต์ HandBrake (โปรแกรมแปลงไฟล์แบบโอเพ่นซอร์ส) และเปลี่ยนโปรแกรม HandBrake สำหรับ macOS เป็นไฟล์ที่ฝัง Proton ไว้ด้านในโปรแกรมตัวจริง และในเดือนตุลาคม ปี 2017 Proton แพร่ระบาดอีกครั้งด้วยการแฮกเว็บไซต์ Eltima Player แล้วฝังProton ไว้ด้านในโปรแกรมเช่นกัน
ในวันที่ 20 กรกฏาคม 2018 นักวิจัยด้านมัลแวร์จาก Kaspersky Lab ได้เปิดเผยการค้นพบมัลแวร์ชื่อ Calisto ซึ่งน่าจะเป้นมัลแวร์ตั้งต้นในการพัฒนามัลแวร์ Proton มัลแวร์ Calisto ถูกพัฒนาตั้งแต่ปี 2016 และถูกอัพโหลดขึ้นเว็บไซต์ VirusTotal (เว็บไซต์ให้บริการตรวจสอบไฟล์และ URL ที่อาจเป็นอันตราย) ตั้งแต่ปี 2016 ทั้งนี้ไฟล์ที่มี Calisto ไม่ถูกแจ้งว่าเป็นไฟล์อันตรายมาตลอดจนกระทั้งเมื่อนักวิจัยไปเจอในเดือนพฤษภาคม ปี 2018
ในผลวิเคราะห์ Calisto จากนักวิจัยด้านมัลแวร์จาก Kaspersky Lab กล่าวว่า Calisto เป็น remote access trojan (RAT) เช่นกัน โดยมีความสามารถหลายอย่าง เช่น ทำให้ผู้โจมตีล็อกอินเข้าเครื่อง macOS ที่ติดเชื้อได้จากระยะไกล เปิดระบบ screen sharing สร้าง root account ลับให้มัลแวร์ใช้ ขโมยไฟล์แล้วส่งไปยังเซิร์ฟเวอร์ที่ควบคุม
ทั้งนี้ Calisto ยังอยู่ระหว่างการพัฒนาและไม่มีอันตรายเท่ากับ Proton นอกจากนี้ Calisto และถูกพัฒนาออกมาก่อนที่ Apple ออก SIP (System Integrity Protection) ซึ่ง SIP ออกแบบมาให้มัลแวร์ไม่สามารถเปลี่ยนแปลงไฟล์และการตั้งค่าของระบบที่สำคัญได้ ถึงแม้ว่าจะเข้าถึงระบบในระดับ root ก็ตาม ผู้ใช้ macOS ที่เปิดการใช้จึง SIP จะปลอดภัยจาก Calisto
ทั้งนี้เพื่อความปลอดภัยจาก Calisto Proton และมัลแวร์ในกลุ่มเดียวกัน
ผู้ใช้ macOS ควรจะ อัปเดต OS ให้เป็นปัจจุบันอยู่เสมอ ไม่ปิดการใช้งาน SIP ใช้ software จากแหล่งน่าเชื่อถือเท่านั้น เช่น จาก App Store ติดตั้ง antivirus software ที่มีการอัปเดตเป็นปัจจุบัน
ที่มา securityaffairs
You must be logged in to post a comment.