นักวิจัยด้านความปลอดภัยทางไซเบอร์พบมัลแวร์ขโมยข้อมูลตัวใหม่ที่ออกแบบมาเพื่อโจมตีระบบปฏิบัติการ macOS ของ Apple และรวบรวมข้อมูลหลากหลายประเภท ซึ่งแสดงให้เห็นว่ากลุ่มแฮ็กเกอร์กำลังมุ่งเป้ามาที่ระบบปฏิบัติการนี้เพิ่มมากขึ้นเรื่อย ๆ
มัลแวร์ตัวนี้มีชื่อว่า Cthulhu Stealer โดยมีจำหน่ายในรูปแบบ malware-as-a-service (MaaS) ในราคา $500 ต่อเดือนตั้งแต่ช่วงปลายปี 2023 และสามารถโจมตีได้ทั้งสถาปัตยกรรมทั้งแบบ x86_64 และ Arm
Tara Gould นักวิจัยจาก Cato Security ระบุว่า Cthulhu Stealer เป็นไฟล์ดิสก์อิมเมจของ Apple (DMG) ที่มาพร้อมกับไฟล์ไบนารี 2 ไฟล์ ขึ้นอยู่กับสถาปัตยกรรม มัลแวร์ตัวนี้ถูกเขียนด้วยภาษา Golang และสามารถปลอมเป็นซอฟต์แวร์ที่ถูกต้องได้
ซอฟต์แวร์บางโปรแกรมที่ถูกปลอมแปลง ได้แก่ CleanMyMac, Grand Theft Auto IV, และ Adobe GenP ซึ่งโปรแกรมสุดท้ายเป็นเครื่องมือโอเพ่นซอร์สที่ใช้แก้ไขแอปพลิเคชันของ Adobe เพื่อหลีกเลี่ยงบริการ Creative Cloud และเปิดใช้งานได้โดยไม่ต้องใช้ serial key
โดยผู้ใช้ที่ทำการเปิดไฟล์ และหลังจากนั้นได้อนุญาตให้ไฟล์นั้นสามารถรันได้โดยเฉพาะ เช่น การหลีกเลี่ยงการป้องกันของ Gatekeeper จะถูกขอให้กรอกรหัสผ่านระบบของตน ซึ่งเป็นเทคนิคที่ใช้ osascript ที่ถูกนำมาใช้โดยมัลแวร์อื่น ๆ เช่น Atomic Stealer, Cuckoo, MacStealer และ Banshee Stealer
ในขั้นตอนถัดไป ผู้ใช้จะได้รับการแจ้งเตือนให้กรอกรหัสผ่าน MetaMask ของตน และ Cthulhu Stealer ยังถูกออกแบบมาเพื่อเก็บรวบรวมข้อมูลระบบ และยังสามารถดึงรหัสผ่าน iCloud Keychain โดยใช้เครื่องมือโอเพ่นซอร์สที่ชื่อ Chainbreaker
ข้อมูลที่ถูกขโมย ซึ่งรวมถึงคุกกี้ของเว็บเบราว์เซอร์ และข้อมูลบัญชี Telegram จะถูกบีบอัด และเก็บไว้ในไฟล์ ZIP จากนั้นจะถูกส่งออกไปยังเซิร์ฟเวอร์ command-and-control (C2)
Gould ระบุว่า "ฟังก์ชันหลักของ Cthulhu Stealer คือการขโมยข้อมูลการเข้าสู่ระบบ และ cryptocurrency wallets จากแหล่งต่าง ๆ รวมถึงบัญชีเกมด้วย"
"ฟังก์ชันการทำงาน และคุณสมบัติของ Cthulhu Stealer คล้ายคลึงกับ Atomic Stealer มาก ซึ่งบ่งชี้ว่าผู้พัฒนา Cthulhu Stealer อาจนำ Atomic Stealer มาดัดแปลงโค้ด การใช้ osascript เพื่อขอให้ผู้ใช้กรอกรหัสผ่านนั้นมีความคล้ายคลึงกันใน Atomic Stealer และ Cthulhu แม้กระทั่งมีการสะกดคำผิดเหมือนกัน"
มีการรายงานว่า แฮ็กเกอร์ที่อยู่เบื้องหลังมัลแวร์ตัวนี้ไม่ได้มีการเคลื่อนไหวอีกต่อไปแล้ว ส่วนหนึ่งเป็นผลมาจากความขัดแย้งเรื่องของการชำระเงิน โดยแฮ็กเกอร์ที่สร้างมัลแวร์ตัวนี้ถูกกล่าวหาว่ามีการหลอกลวงจึงทำให้ต้องหนีหายไป ส่งผลให้ผู้พัฒนาดังกล่าวถูกแบนถาวรจากตลาดซื้อขายทางไซเบอร์ที่ใช้โฆษณามัลแวร์ขโมยข้อมูลตัวนี้
Cthulhu Stealer นั้นไม่ได้มีความซับซ้อนเป็นพิเศษ และขาดเทคนิคป้องกันการวิเคราะห์ที่สามารถทำให้มัลแวร์ดังกล่าวทำงานได้อย่างลับ ๆ นอกจากนี้ยังไม่มีคุณสมบัติโดดเด่นใด ๆ ที่ทำให้ Cthulhu Stealer แตกต่างจากมัลแวร์ตัวอื่น ๆ ที่คล้ายกันในตลาด
แม้ว่าภัยคุกคามต่อ macOS จะพบได้น้อยกว่าเมื่อเทียบกับ Windows และ Linux แต่ผู้ใช้ควรดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้เท่านั้น เพื่อหลีกเลี่ยงการติดตั้งแอปพลิเคชันที่ไม่ได้รับการตรวจสอบ และควรอัปเดตระบบด้านความปลอดภัยของตนให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
การเพิ่มขึ้นของมัลแวร์บน macOS ไม่ได้ถูกมองข้ามโดย Apple ซึ่งเมื่อต้นเดือนที่ผ่านมา ทาง Apple ได้ประกาศการอัปเดตสำหรับเวอร์ชั่นถัดไปของระบบปฏิบัติการ ที่มีจุดมุ่งหมายเพื่อเพิ่มความยุ่งยากในการเปิดใช้ซอฟต์แวร์ที่ไม่ได้มีการอนุญาตอย่างถูกต้อง หรือไม่ได้รับการรับรอง
Apple ระบุว่า "ใน macOS Sequoia ผู้ใช้จะไม่สามารถใช้ Control-click เพื่อเลี่ยงการป้องกันของ Gatekeeper เมื่อเปิดซอฟต์แวร์ที่ไม่ได้มีการอนุญาตอย่างถูกต้อง หรือไม่ได้รับการรับรองได้อีกต่อไป ผู้ใช้จะต้องไปที่ System Settings > Privacy & Security เพื่อตรวจสอบข้อมูลความปลอดภัยของซอฟต์แวร์ก่อนที่จะอนุญาตให้ใช้งานได้"
ที่มา : thehackernews
You must be logged in to post a comment.