นักวิจัยด้านความมั่นคงทางไซเบอร์ แจ้งเตือนถึงแคมเปญมัลแวร์รูปแบบใหม่ที่มุ่งเป้าไปยังผู้ใช้ macOS โดยใช้ ClickFix social engineering tactic เพื่อหลอกให้ติดตั้งมัลแวร์ information stealer ที่มีชื่อว่า Atomic macOS Stealer (AMOS) โดยรายงานจาก CloudSEK ระบุว่า แคมเปญนี้ใช้โดเมนเลียนแบบ (typosquat domains) ซึ่งคล้ายกับชื่อของผู้ให้บริการโทรคมนาคมในสหรัฐฯ อย่าง Spectrum เพื่อเพิ่มความน่าเชื่อถือ และหลอกลวงให้ผู้ใช้ตกเป็นเหยื่อ
ในกระบวนการโจมตี ผู้ใช้ macOS จะถูกส่ง shell script ที่เป็นอันตราย ซึ่งถูกออกแบบมาเพื่อขโมยรหัสผ่านของระบบ และดาวน์โหลดมัลแวร์ AMOS เวอร์ชันหนึ่ง เพื่อนำไปใช้ในการเจาะระบบเพิ่มเติม โดยสคริปต์นี้ใช้คำสั่งภายในระบบ macOS ในการดึงข้อมูล credentials, bypass มาตรการด้านความปลอดภัย และรัน malicious binaries
มีความเป็นไปได้ว่าผู้อยู่เบื้องหลังการโจมตีในครั้งนี้คือกลุ่มอาชญากรไซเบอร์ที่ใช้ภาษารัสเซีย เนื่องจากมีการพบข้อความในภาษารัสเซียอยู่ในซอร์สโค้ดของมัลแวร์ที่ใช้ในแคมเปญนี้
การโจมตีเริ่มต้นจากเว็บไซต์ปลอมที่เลียนแบบ Spectrum (“panel-spectrum[.]net” หรือ “spectrum-ticket[.]net”) ซึ่งผู้เข้าชมจะถูกขอให้ทำการยืนยันตัวตนผ่าน hCaptcha เพื่อตรวจสอบความปลอดภัยของการเชื่อมต่อ แต่เมื่อคลิกช่อง “I am human” จะปรากฏข้อความผิดพลาดว่า “CAPTCHA verification failed” พร้อมแนะนำให้ดำเนินการยืนยันตัวตนแบบอื่นแทน
เมื่อผู้ใช้ทำตามคำแนะนำ คำสั่งจะถูกคัดลอกไปยังคลิปบอร์ดโดยอัตโนมัติ จากนั้นระบบจะแสดงคำแนะนำที่แตกต่างกันตามระบบปฏิบัติการที่ใช้งาน ผู้ใช้ Windows จะถูกแนะนำให้รันคำสั่ง PowerShell ผ่าน Windows Run
ส่วนผู้ใช้ macOS จะได้รับ shell script ที่ต้องรันผ่านแอป Terminal โดยสคริปต์ดังกล่าวจะขอรหัสผ่านระบบก่อนดำเนินการดาวน์โหลดมัลแวร์ในขั้นถัดไป ซึ่งในกรณีนี้คือ Atomic Stealer มัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลจากเครื่องของผู้ใช้งานโดยเฉพาะ
นักวิจัย Koushik Pal ระบุว่า ความผิดพลาดในเว็บไซต์ที่ใช้ส่งมัลแวร์ เช่น คำแนะนำที่ไม่ตรงกับระบบปฏิบัติการ สะท้อนให้เห็นว่าระบบถูกพัฒนาอย่างเร่งรีบ นอกจากนี้ยังพบข้อบกพร่องทั้งในโค้ด และส่วนแสดงผลหน้าเว็บ เช่น กรณีที่ผู้ใช้ Linux กลับได้รับคำสั่ง PowerShell หรือคำแนะนำ “กดปุ่ม Windows ค้างไว้แล้วกด R” ที่ปรากฏทั้งในระบบ Windows และ macOS โดยไม่แยกแยะแพลตฟอร์ม
การเปิดเผยครั้งนี้เกิดขึ้นท่ามกลางแนวโน้มการเพิ่มขึ้นของแคมเปญมัลแวร์ที่ใช้กลยุทธ์ ClickFix ในช่วงปีที่ผ่านมา โดย Darktrace ระบุว่ากลุ่มผู้โจมตีที่มีเป้าหมายแบบเฉพาะเจาะจง มักใช้เทคนิค และเครื่องมือคล้ายกันในการเข้าถึงระบบเบื้องต้น ไม่ว่าจะเป็น spear phishing, การเจาะระบบผ่านเว็บไซต์ที่ถูกแฮ็ก หรือการใช้ความน่าเชื่อถือของแพลตฟอร์มอย่าง GitHub เพื่อแพร่กระจายโค้ดที่เป็นอันตราย
ลิงก์ที่ส่งต่อผ่านช่องทางเหล่านี้มักนำผู้ใช้ไปยัง URL อันตรายซึ่งแสดงหน้าตรวจสอบ CAPTCHA ปลอม เพื่อหลอกให้เข้าใจว่ากำลังดำเนินการขั้นตอนรักษาความปลอดภัย ทั้งที่แท้จริงแล้วเป็นการชักจูงให้รันคำสั่งอันตรายเพื่อแก้ปัญหาที่ไม่มีอยู่จริง
เทคนิค social engineering นี้ทำให้ผู้ใช้เผลอเปิดช่องโหว่ในระบบของตนเอง ส่งผลให้ผู้โจมตีสามารถหลบเลี่ยงมาตรการรักษาความปลอดภัยได้สำเร็จ
บริษัทด้านความปลอดภัยทางไซเบอร์ พบการโจมตีด้วยเทคนิค ClickFix หลายครั้งในระบบของผู้ใช้งานในยุโรป, ตะวันออกกลาง, แอฟริกา (EMEA) และสหรัฐฯ โดยแคมเปญเหล่านี้มีแนวโน้มขยายตัวเพิ่มขึ้นอย่างต่อเนื่อง แม้มีการปรับเปลี่ยนรูปแบบบ้าง แต่ยังมีเป้าหมายหลักคือการส่งมัลแวร์หลากหลายชนิด ตั้งแต่โทรจัน, มัลแวร์ขโมยข้อมูล, ไปจนถึงแรนซัมแวร์
เมื่อต้นสัปดาห์ Cofense เปิดเผยแคมเปญฟิชชิงที่แอบอ้างชื่อ Booking[.]com โจมตีเครือโรงแรม และธุรกิจอาหาร ผ่าน CAPTCHA ปลอมที่ส่งมัลแวร์ XWorm RAT, PureLogs Stealer และ DanaBot เทคนิค ClickFix ที่ยืดหยุ่นช่วยให้การแพร่กระจายมัลแวร์เป็นไปได้ง่ายขึ้น
โดยทั่วไป แคมเปญใช้อีเมลปลอมชื่อ Booking[.]com พร้อมลิงก์ไปยัง CAPTCHA ปลอมที่สร้างด้วย ClickFix เพื่อส่งสคริปต์อันตรายเพื่อรัน RATs หรือมัลแวร์ขโมยข้อมูล
จากรายงานของ Darktrace ในเดือนเมษายน 2025 พบว่ามีผู้ไม่หวังดีใช้ประโยชน์จาก ClickFix ในการโจมตี เพื่อดาวน์โหลดเพย์โหลดที่ไม่เปิดเผยรายละเอียด โดยมีเป้าหมายเพื่อแทรกซึมเข้าสู่ระบบของเป้าหมายให้ลึกยิ่งขึ้น โจมตีต่อไปภายในเครือข่าย ส่งข้อมูลเกี่ยวกับระบบไปยังเซิร์ฟเวอร์ภายนอกผ่าน HTTP POST request และในท้ายที่สุดทำการลอบส่งข้อมูลออกจากระบบ
Darktrace ระบุว่า ClickFix baiting เป็นกลยุทธ์ที่อาศัยความผิดพลาดของผู้ใช้เพื่อหลบเลี่ยงระบบรักษาความปลอดภัย โดยหลอกให้ผู้ใช้ดำเนินการที่ดูไม่มีอันตราย ผู้โจมตีจึงสามารถเข้าถึงระบบ และขโมยข้อมูลสำคัญได้
Daniel Kelley จาก SlashNext ระบุว่า ผู้ใช้อินเทอร์เน็ตในปัจจุบันต้องเผชิญกับการตรวจสอบสแปม CAPTCHA และคำแจ้งเตือนด้านความปลอดภัยจำนวนมากบนเว็บไซต์ และพฤติกรรมของผู้ใช้ก็ถูกหล่อหลอมให้คลิกผ่านขั้นตอนเหล่านี้โดยไม่ลังเล ผู้โจมตีจึงอาศัยจุดอ่อนจากความน่าเบื่อจากการยืนยันตัวตนนี้ โดยรู้ดีว่าหลายคนจะทำตามขั้นตอนที่เห็น หากมันดูเหมือนเป็นกระบวนการปกติ
ที่มา : thehackernews
You must be logged in to post a comment.