Microsoft ระบุว่าได้ค้นพบเวอร์ชันใหม่ของมัลแวร์บน macOS ที่รู้จักกันในชื่อ XCSSET ซึ่งยังไม่พบว่าถูกนำไปใช้โจมตีในวงกว้าง
ทีมงาน Microsoft Threat Intelligence รายงานในโพสต์ที่แชร์บน X โดยระบุว่า "มัลแวร์ XCSSET ตัวล่าสุดนี้ เป็นที่รู้จักมาตั้งแต่ปี 2022 มีการปรับปรุงการหลบเลี่ยงการตรวจจับ, แฝงตัวอยู่บนระบบ และมีกลยุทธ์ในการแพร่กระจายมัลแวร์"
“ฟีเจอร์เหล่านี้ได้รับการปรับปรุงจากเวอร์ชันก่อนของมัลแวร์ตระกูลนี้ เช่น การกำหนดเป้าหมายไปที่กระเป๋าเงินดิจิทัล, การรวบรวมข้อมูลจากแอป Notes, การขโมยข้อมูล และไฟล์ของระบบ”
XCSSET เป็นมัลแวร์บน macOS ที่ซับซ้อน และทราบกันดีว่ามีเป้าหมายในการแพร่กระจายไปยังผู้ใช้โปรเจ็กต์ Xcode ของ Apple ที่ทาง Trend Micro ได้บันทึกไว้ครั้งแรกในเดือนสิงหาคม 2020
ในภายหลังพบว่ามัลแวร์สามารถปรับตัวให้เข้ากับ macOS เวอร์ชันใหม่ รวมถึงชิปเซ็ต M1 ของ Apple เองได้ ซึ่งในช่วงกลางปี 2021 บริษัทด้านความปลอดภัยทางไซเบอร์สังเกตเห็นว่า มัลแวร์ XCSSET ได้รับการอัปเดตเพื่อดึงข้อมูลจากแอปต่าง ๆ เช่น Google Chrome, Telegram, Evernote, Opera, Skype, WeChat และแอปของ Apple เช่น Contacts และ Notes
รายงานอีกฉบับจาก Jamf ในช่วงเวลาเดียวกันเปิดเผยว่า มัลแวร์ตัวนี้สามารถใช้ประโยชน์จากช่องโหว่ Zeor Day หมายเลข CVE-2021-30713 ซึ่งเป็นช่องโหว่ของการทำงาน Transparency, Consent, and Control (TCC) เพื่อจับภาพหน้าจอของเหยื่อโดยไม่ต้องขอ permissions เพิ่มเติม
จากนั้นกว่าหนึ่งปีต่อมา มัลแวร์ตัวนี้ได้รับการอัปเดตอีกครั้งเพื่อเพิ่มการรองรับ macOS Monterey ซึ่งจนถึงปัจจุบัน ก็ยังไม่ทราบแหล่งที่มาของมัลแวร์ดังกล่าว
การค้นพบล่าสุดจาก Microsoft ถือเป็นการปรับปรุงครั้งใหญ่ครั้งแรก ตั้งแต่ปี 2022 โดยใช้การหลบหลีก และกลไกการแฝงตัวที่ได้รับการปรับปรุง ที่มุ่งเป้าไปที่ความพยายามในการวิเคราะห์ และเพื่อให้แน่ใจว่ามัลแวร์จะถูกเปิดใช้งานทุกครั้งที่มีการเริ่มเซสชันใหม่
วิธีการใหม่ในการตั้งค่าการแฝงตัวของ XCSSET คือการดาวน์โหลดเครื่องมือ dockutil เพื่อรอคำสั่งจาก command-and-control server เพื่อจัดการ dock items
Microsoft รายงานว่า "จากนั้นมัลแวร์จะสร้างแอปพลิเคชัน Launchpad ปลอมแทนที่ Launchpad ที่ถูกต้องใน dock ซึ่งวิธีนี้ช่วยให้มั่นใจได้ว่าทุกครั้งที่ Launchpad ถูกเปิดจาก dock ทั้ง Launchpad ที่ถูกต้อง และเพย์โหลดที่เป็นอันตรายจะเริ่มดำเนินการ"
เนื่องจาก XCSSET แพร่กระจายผ่านโปรเจ็กต์ที่ติดมัลแวร์ จึงแนะนำให้ผู้ใช้ตรวจสอบ และยืนยันโปรเจ็กต์ Xcode ที่ดาวน์โหลด หรือโคลนมาจาก repositories ก่อนใช้งานเสมอ นอกจากนี้ยังแนะนำให้ติดตั้งแอปจากแหล่งที่เชื่อถือได้ เช่น official app store
ที่มา: thehackernews
You must be logged in to post a comment.