‘SHub’ มัลแวร์ขโมยข้อมูลสายพันธุ์ใหม่บน macOS อาศัย AppleScript ในการแสดงหน้าต่างแจ้งเตือนการอัปเดตด้านความปลอดภัยปลอมเพื่อแอบติดตั้ง Backdoor บนเครื่องเหยื่อ
มัลแวร์เวอร์ชันใหม่นี้ถูกเรียกว่า "Reaper" ซึ่งจะทำการขโมยข้อมูลสำคัญที่อยู่ในเบราว์เซอร์, รวบรวมไฟล์เอกสาร และไฟล์ที่อาจมีข้อมูลทางการเงิน รวมถึงทำการโจมตีระบบแอปพลิเคชัน Crypto wallet
แตกต่างจากแคมเปญของ SHub ก่อนหน้านี้ที่อาศัยกลยุทธ์ “ClickFix” ซึ่งเป็นการหลอกให้ผู้ใช้งานคัดลอก และนำคำสั่งไปรันใน Terminal แต่ตัว Reaper นี้จะอาศัย URL scheme แบบ applescript:// เพื่อเปิดแอป Script Editor ของ macOS ที่ถูกฝังโค้ด AppleScript ที่เป็นอันตรายเตรียมไว้แล้ว
วิธีการดังกล่าวสามารถหลบเลี่ยงระบบป้องกันผ่าน Terminal ที่ Apple เพิ่งนำมาใช้เมื่อปลายเดือนมีนาคมในอัปเดต macOS Tahoe 26.4 ซึ่งมีหน้าที่บล็อกการวาง และรันคำสั่งที่อาจเป็นอันตราย
นักวิจัยจาก SentinelOne เป็นผู้ค้นพบมัลแวร์ SHub สายพันธุ์ใหม่นี้ โดยพบว่าผู้ใช้งานจะถูกหลอกด้วยโปรแกรมติดตั้งแอปพลิเคชัน WeChat และ Miro ปลอม ซึ่งโปรแกรมเหล่านี้ถูกฝากไว้อยู่บนโดเมนที่ตั้งชื่อเลียนแบบให้ดูเหมือนเว็บไซต์ที่ถูกต้อง เพื่อหลอกผู้ใช้ที่อาจจะยังไม่ทันได้สังเกต หรือไม่มีประสบการณ์มากนัก (เช่น qq-0732gwh22[.]com, mlcrosoft[.]co[.]com, mlroweb[.]com)
ปัจจุบัน โดเมน QQ และ Microsoft ปลอมยังคงมีโปรแกรมติดตั้ง WeChat ปลอมให้ดาวน์โหลดอยู่ ในขณะที่โดเมนที่แอบอ้างเป็นแพลตฟอร์ม Miro visual collaboration จะทำการเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ถูกต้อง
ทาง BleepingComputer สังเกตเห็นว่าปุ่มดาวน์โหลดสำหรับ Windows และ Android จะมีไฟล์ Executable ตัวเดียวกัน ซึ่งถูกฝากเอาไว้บนบัญชี Dropbox
ก่อนที่จะเรียกใช้งาน AppleScript เว็บไซต์อันตรายเหล่านี้จะทำการตรวจสอบระบบ และอุปกรณ์ของผู้เข้าชมเพื่อหาการใช้งาน Virtual Machine และ VPN ซึ่งอาจทำให้ทราบได้ว่าอุปกรณ์นั้นเป็นเครื่องสำหรับใช้วิเคราะห์มัลแวร์ รวมทั้งทำการเก็บข้อมูลรายชื่อเบราว์เซอร์ Extensions ที่ติดตั้งเอาไว้ ทั้งประเภทโปรแกรม Password managers และ Crypto wallets โดยข้อมูลที่ถูกรวบรวมมาได้ทั้งหมดจะถูกส่งกลับไปยังผู้โจมตีผ่านทาง Telegram bot
รายงานของ SentinelOne ระบุเพิ่มเติมว่า สคริปต์ที่มีคำสั่งสำหรับดึง Payload เข้ามานั้น ถูกสร้างขึ้นมาแบบไดนามิก และซ่อนเอาไว้ภายใต้ ASCII art
เมื่อเหยื่อคลิกคำว่า ‘Run’ ตัวสคริปต์จะแสดงข้อความแจ้งเตือนการอัปเดตด้านความปลอดภัยปลอมของ Apple โดยอ้างอิงถึงเครื่องมือ XProtectRemediator จากนั้นจะทำการดาวน์โหลด Shell script โดยใช้คำสั่ง ‘curl’ และแอบรันคำสั่งดังกล่าวอย่างเงียบ ๆ ผ่าน ‘zsh’
ก่อนที่จะเริ่มกระบวนการขโมยข้อมูล มัลแวร์จะทำการตรวจสอบระบบดูก่อนว่าเหยื่อมีการใช้งานคีย์บอร์ด หรือการตั้งค่าการป้อนข้อมูลเป็นภาษารัสเซียหรือไม่ หากพบว่ามีการใช้งานจริง มัลแวร์จะส่งรายงานเหตุการณ์ระบุว่า ‘cis_blocked’ กลับไปยังเซิร์ฟ C2 จากนั้นจะปิดการทำงานของตัวเองลงโดยไม่ทำการฝังตัวมัลแวร์ หรือแพร่กระจายมัลแวร์ลงในระบบ
หากเครื่องของเหยื่อไม่ได้ใช้ภาษารัสเซีย มัลแวร์ Reaper จะทำการดึงข้อมูล และรัน AppleScript ที่เป็นอันตราย ซึ่งแฝงชุดคำสั่งขโมยข้อมูลเอาไว้ โดยอาศัยเครื่องมือ osascript command-line ที่มีติดตั้งมาให้พร้อมกับ macOS อยู่แล้ว
เมื่อตัวมัลแวร์เริ่มทำงาน มันจะแสดงหน้าต่างขึ้นมาหลอกถามรหัสผ่าน macOS จากผู้ใช้ ซึ่งรหัสผ่านดังกล่าวสามารถนำไปใช้เพื่อเข้าถึงข้อมูลใน Keychain, ถอดรหัสข้อมูล Credentials ต่าง ๆ และเข้าถึงข้อมูลที่ถูกเข้ารหัสป้องกันเอาไว้ได้ หลังจากนั้นมัลแวร์ขโมยข้อมูลตัวนี้จะมุ่งเป้าไปที่ข้อมูลต่าง ๆ ดังต่อไปนี้
- ข้อมูลเบราว์เซอร์จาก Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc และ Orion
- เบราว์เซอร์ Extensions ประเภท Crypto wallet ได้แก่ MetaMask และ Phantom
- เบราว์เซอร์ Extensions ประเภทโปรแกรม Password manager ได้แก่ 1Password, Bitwarden และ LastPass
- แอปพลิเคชัน Crypto wallet บน Desktop ได้แก่ Exodus, Atomic Wallet, Ledger Live, Electrum และ Trezor Suite
- ข้อมูลบัญชี iCloud
- ข้อมูล Session ของ Telegram
- ไฟล์ Config ที่เกี่ยวข้องกับนักพัฒนา
Reaper ยังมาพร้อมกับโมดูล “Filegrabber” ซึ่งทำหน้าที่ค้นหาไฟล์ในโฟลเดอร์ Desktop และ Documents เพื่อหาประเภทไฟล์ที่มีแนวโน้มว่าจะมีข้อมูลสำคัญ โดยมันจะรวบรวมไฟล์เป้าหมายที่มีขนาดเล็กกว่า 2MB หรือสูงสุด 6MB ในกรณีที่เป็นไฟล์รูปภาพ PNG และจำกัดขนาดข้อมูลที่ขโมยมาโดยรวมทั้งหมดไว้ที่ 150MB
เมื่อตรวจพบว่ามีแอปพลิเคชัน Wallet อยู่ในเครื่อง มัลแวร์จะทำการเจาะระบบแอปพลิเคชันเหล่านั้นโดยการสั่ง Terminate process และนำไฟล์อันตรายที่ชื่อว่า app.asar ซึ่งดาวน์โหลดมาจากเซิร์ฟเวอร์ C2 ไปแทนที่ไฟล์หลักของแอปพลิเคชันที่ถูกต้อง
นักวิจัยอธิบายว่า เพื่อหลีกเลี่ยงการแจ้งเตือนจากระบบรักษาความปลอดภัย Gatekeeper มัลแวร์ SHub Reaper จะ "Quarantine attributes ด้วยคำสั่ง xattr -cr และทำการ ad hoc code signing บนชุดแอปพลิเคชันที่ถูกดัดแปลงแก้ไขไปแล้ว"
SentinelOne แจ้งเตือนว่า มัลแวร์ตัวนี้จะทำการแฝงตัวเพื่อทำงานในระบบอย่างถาวรด้วยการติดตั้งสคริปต์ที่ปลอมแปลงเป็นโปรแกรมอัปเดตซอฟต์แวร์ของ Google และลงทะเบียนสคริปต์ดังกล่าวโดยใช้ LaunchAgent โดยสคริปต์นี้จะถูกสั่งรันทุก ๆ หนึ่งนาที และทำหน้าที่เสมือนสัญญาณที่คอยส่งข้อมูลของระบบเครื่องกลับไปยังเซิร์ฟเวอร์ C2
หากสคริปต์ได้รับ Payload เข้ามา มันจะสามารถถอดรหัส และสั่งรัน Payload นั้นภายใต้สิทธิ์ของผู้ใช้งานปัจจุบัน จากนั้นจะทำการลบไฟล์ดังกล่าวทิ้ง ซึ่งเป็นการเปิดโอกาสให้ผู้โจมตีสามารถขยายขอบเขตการเข้าถึงเครื่องคอมพิวเตอร์นั้นได้มากยิ่งขึ้น
SentinelOne เน้นย้ำว่าผู้ควบคุมมัลแวร์ SHub กำลังขยายขีดความสามารถของมัลแวร์ขโมยข้อมูลตัวนี้ ให้ครอบคลุมถึงการเข้าถึงอุปกรณ์ที่ตกเป็นเหยื่อจากระยะไกล ซึ่งอาจทำให้ผู้โจมตีสามารถดึงมัลแวร์อื่น ๆ เข้ามาติดตั้งเพิ่มเติมได้อีก
ทางนักวิจัยได้จัดเตรียมชุดข้อมูล Indicators of Compromise (IoCs) ซึ่งจะช่วยให้ทีมรักษาด้านความปลอดภัยสามารถนำไปใช้เพื่อป้องกันระบบจากพฤติกรรมอันตรายที่เกี่ยวข้องกับมัลแวร์ขโมยข้อมูล SHub Reaper สายพันธุ์ใหม่นี้ได้
SentinelOne แนะนำให้เฝ้าระวัง Outbound traffic ที่น่าสงสัยหลังจากการเรียกใช้งานแอป Script Editor รวมถึงการสร้าง LaunchAgents ใหม่และไฟล์ต่าง ๆ ที่เกี่ยวข้อง ภายใต้ชื่อหรือ namespace ของผู้พัฒนาซอฟต์แวร์ที่น่าเชื่อถือ
ที่มา : bleepingcomputer
You must be logged in to post a comment.