พบแคมเปญการอัปเดต fake browser ในชื่อ 'ClearFake' ได้ขยายการโจมตีไปยัง macOS ด้วยการใช้มัลแวร์ Atomic Stealer (AMOS)
ClearFake campaign เริ่มต้นในเดือนกรกฎาคม 2023 ซึ่งได้กำหนดเป้าหมายไปยังผู้ใช้ Windows ด้วยการแจ้งเตือนการอัปเดต Chrome ปลอม ที่ปรากฏบนเว็บไซต์ที่ถูกโจมตีผ่านการแทรก JavaScript
รวมถึงในเดือนตุลาคม 2023 ทาง Guardio Labs พบการพัฒนาการโจมตี โดยใช้ประโยชน์จาก Binance Smart Chain contracts เพื่อซ่อนสคริปต์ที่เป็นอันตราย ซึ่งส่งผลให้พบการโจมตีใน blockchain ด้วยเทคนิคที่มีชื่อว่า "EtherHiding" ซึ่ง Hacker จะทำการกระจายเพย์โหลดที่กำหนดเป้าหมายไปที่ Windows ด้วยการใช้ Information-Stealing Malware เช่น RedLine, Amadey และ Lumma
ขยายไปสู่ macOS
เมื่อวันที่ 17 พฤศจิกายน 2023 นักวิเคราะห์ภัยคุกคาม Ankit Anubhav รายงานการพบ ClearFake ซึ่งเริ่มส่ง DMG payloads ไปยังผู้ใช้งาน macOS ที่เข้าใช้งานเว็บไซต์ที่ถูกโจมตี เช่นเดียวกับทาง Malwarebytes ที่ออกมายืนยันการขยายการโจมตีรูปแบบนี้ โดยรายงานว่าการโจมตีเหล่านี้หลอกให้เหยื่อทำการอัปเดต Safari ควบคู่ไปกับ standard Chrome overlay
โดยเพย์โหลดอันตรายที่ถูกติดตั้งในเครื่องเป้าหมาย คือ Atomic ซึ่งเป็น Information-Stealing Malware ที่ถูกขายให้กับเหล่า Hacker ผ่านช่องทาง Telegram ในราคา 1,000 ดอลลาร์ต่อเดือน
Atomic Stealer Malware ถูกพบในเดือนเมษายน 2023 โดย Trellix และ Cyble ซึ่งรายงานว่า Atomic สามารถขโมย passwords, cookies, ข้อมูล credit cards ที่เก็บไว้ใน browsers, local files รวมถึง cryptocurrency extensions กว่า 50 รายการ รวมไปถึง keychain passwords ด้วย
**
Keychain Password คือตัวจัดการรหัสผ่านในตัวของ macOS ที่เก็บรหัสผ่าน WiFi, ข้อมูลการเข้าสู่ระบบบนเว็บไซต์, ข้อมูลบัตรเครดิต และข้อมูลที่เข้ารหัสอื่น ๆ ดังนั้นการที่สามารเข้าถึง keychain passwords ได้ อาจส่งผลให้เกิดการเข้าถึงข้อมูลที่สำคัญของเหยื่อ ถึงแม้ว่าจะมีรายงานการค้นพบ Atomic มาแล้วหลายเดือนแล้ว แต่ก็พบว่ามี Anti-Virus กว่า 50% ใน VirusTotal ที่ยังไม่สามารถตรวจจับพฤติกรรมของ Atomic ได้
จากการตรวจสอบสตริงของเพย์โหลดของ Malwarebyte แสดงเห็นชุดคำสั่งสำหรับแยกข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน และไฟล์เอกสาร, รูปภาพ, crypto wallet file และคีย์
ClearFake campaign ที่มุ่งเป้าหมายการโจมตีไปที่ Mac ครั้งนี้ เป็นเครื่องเตือนใจสำหรับผู้ใช้งาน Apple ให้เสริมสร้างความปลอดภัย และระมัดระวังในการดาวน์โหลดต่าง ๆ โดยเฉพาะอย่างยิ่งการแจ้งเตือนให้อัปเดตเบราว์เซอร์เมื่อเข้าใช้งานเว็บไซต์ที่อาจจะไม่ปลอดภัย
โดยการอัปเดต Safari browser ทั้งหมดจะได้รับการเผยแพร่ผ่าน macOS's Software Update หรือสำหรับเบราว์เซอร์อื่น ก็จะมีการแจ้งเตือนภายในเบราว์เซอร์นั้นเอง ดังนั้นหากพบเห็นข้อความแจ้งเตือนให้ดาวน์โหลด browser updates บนเว็บไซต์ ก็ไม่ควรจะกดดาวน์โหลด เพราะอาจเป็นการโจมตีก็เป็นได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.