การโจมตี ClickFix แบบใหม่บน macOS ทำการ Mounts ไฟล์ DMG อย่างเงียบ ๆ เพื่อแพร่กระจายมัลแวร์ Infostealer

แคมเปญ ClickFix แบบใหม่บน macOS กำลังใช้คำสั่ง Terminal เพื่อดาวน์โหลด, Mount และรันมัลแวร์ขโมยข้อมูลจากไฟล์ Disk image (DMG) ที่เป็นอันตรายอย่างเงียบ ๆ

แคมเปญนี้กำลังแพร่กระจายมัลแวร์ลงในอุปกรณ์ Mac ด้วยมัลแวร์ขโมยข้อมูลที่ชื่อว่า Atomic macOS Stealer (AMOS) ซึ่งจะขโมยข้อมูล Credentials บนเบราว์เซอร์, ข้อมูล Crypto wallet, ข้อมูล Keychain, ข้อมูลแอปส่งข้อความ และ Documents ต่าง ๆ ของผู้ใช้

นักวิจัยจาก Unit 42 ของ Palo Alto Networks เป็นผู้ค้นพบแคมเปญนี้เป็นครั้งแรก และระบุว่า การโจมตีจะเริ่มต้นจากหน้า CAPTCHA ปลอมที่หลอกให้ผู้ใช้เปิด Terminal แล้ววางคำสั่งที่เป็นอันตรายลงไปเพื่อยืนยันตัวตน

เมื่อรันคำสั่งดังกล่าวแล้ว มัลแวร์จะทำการดาวน์โหลดไฟล์ DMG จากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทำการ Mount ไฟล์อย่างเงียบ ๆ ด้วยเครื่องมือ hdiutil ที่มีอยู่ใน macOS จากนั้นจะค้นหาชุดแอปพลิเคชันที่อยู่ข้างใน และเปิดใช้งานโดยอัตโนมัติ

ClickFix เป็นเทคนิค Social Engineering ที่จะแสดงหน้า CAPTCHA ปลอม, ข้อความแจ้งเตือน Errors ของเบราว์เซอร์ หรือการแจ้งเตือนของระบบ เพื่อหลอกให้ผู้ที่เข้ามาเยี่ยมชมเว็บไซต์ทำการคัดลอก และรัน "คำแนะนำในการแก้ไขปัญหา" ซึ่งผู้โจมตีเป็นคนเตรียมไว้ให้ เทคนิคนี้ได้รับความนิยมเพิ่มขึ้นอย่างมากในกลุ่มผู้ไม่หวังดีในช่วงปีที่ผ่านมา และถูกนำไปใช้แพร่กระจายมัลแวร์โดยทั้งกลุ่มอาชญากรไซเบอร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล

แม้ว่าการโจมตีแบบ ClickFix ที่เกี่ยวข้องกับไฟล์ DMG จะไม่ใช่เรื่องใหม่ แต่ในแคมเปญก่อนหน้านี้มักจะอาศัยให้ผู้ใช้ทำการเปิดไฟล์ DMG ที่ดาวน์โหลดมาด้วยตัวเอง เพื่อเปิดแอปพลิเคชันที่เป็นอันตราย หรือรันสคริปต์จากเซิร์ฟเวอร์ของผู้โจมตี

แคมเปญที่ตรวจพบโดย Palo Alto ได้นำทั้งสองแนวทางมาผสานรวมกัน โดยใช้คำสั่ง Terminal เพื่อดาวน์โหลดไฟล์ DMG อย่างเงียบ ๆ และเปิดใช้งานมัลแวร์ที่แฝงอยู่ภายใน

หลังจากรันคำสั่ง Terminal การโจมตีจะทำการดาวน์โหลดไฟล์ DMG ที่เป็นอันตรายจาก svs-verificationdate[.]beer โดยใช้คำสั่ง curl พร้อมกับ flags -fsSL เพื่อซ่อนการแสดงผลการทำงาน และบันทึกไฟล์ลงในโฟลเดอร์ /tmp ด้วยการสุ่มชื่อไฟล์

จากนั้น คำสั่งดังกล่าวจะสั่งรัน hdiutil attach -nobrowse เพื่อทำการ Mount disk image ที่ดาวน์โหลดมา โดยไม่ให้แสดงผลใน Finder หรือบนหน้าจอ Desktop

หลังจากนั้น สคริปต์จะทำการค้นหาลึกลงไปสูงสุด 3 ระดับของโฟลเดอร์ เพื่อหาไฟล์ติดตั้ง .app หรือ .pkg ตัวแรกที่เจอ และหากพบไฟล์ดังกล่าว ก็จะเปิดใช้งานโดยใช้คำสั่ง open ของ macOS

นักวิจัยพบว่ามัลแวร์ถูกส่งมาในรูปแบบ Disk image ที่ชื่อว่า "s.01M0td.dmg" ซึ่งเมื่อ Mount แล้ว จะพบไดรฟ์ที่บรรจุชุดแอปพลิเคชันแบบ self-signed ในชื่อ "NNApp.app"

Payload ดังกล่าวเป็นส่วนหนึ่งของมัลแวร์ตระกูล Atomic macOS Stealer ซึ่งถูกใช้เพื่อขโมยข้อมูล Credentials, ประวัติการใช้งานเบราว์เซอร์, Tokens การยืนยันตัวตน และข้อมูล Crypto wallets จากอุปกรณ์ที่ติดมัลแวร์

มัลแวร์ขโมยข้อมูลตัวนี้จะแสดงหน้าต่างแจ้งเตือน System Preferences ปลอมขึ้นมา เพื่อหลอกให้ผู้ใช้กรอกรหัสผ่าน ซึ่งทำให้มัลแวร์สามารถขโมยรหัสผ่านนั้นไปได้

นักวิจัยระบุว่า มัลแวร์ตัวนี้มุ่งเป้าการโจมตีไปที่เบราว์เซอร์ที่ใช้ Chromium-based จำนวน 8 โปรแกรม ได้แก่ Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc และ Yandex โดยมัลแวร์จะทำการขโมยข้อมูล Cookies, ข้อมูลการล็อกอิน, ข้อมูลการกรอกแบบอัตโนมัติ (autofill), ข้อมูล Payment cards ที่บันทึกไว้ และข้อมูลโปรไฟล์ของเบราว์เซอร์

มัลแวร์ขโมยข้อมูลตัวนี้ยังมุ่งเป้าการโจมตีไปที่เบราว์เซอร์ที่พัฒนาต่อยอดมาจาก Firefox ด้วย ซึ่งรวมถึง LibreWolf, SeaMonkey, Tor Browser, Waterfox และ Zen Browser โดยจะขโมยข้อมูลในลักษณะเดียวกัน

Palo Alto ระบุว่า มัลแวร์ตัวนี้จะค้นหา และขโมยข้อมูล Crypto wallet ซึ่งรวมถึง Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet และ TonKeeper

นอกจากนี้ มัลแวร์ยังขโมยข้อมูลของแอป Telegram Desktop และ Discord, ข้อมูลแอป Apple Notes, Cookies ของ Safari, ไฟล์ข้อมูล Apple Keychain รวมถึง Documents ของผู้ใช้ที่มีนามสกุลไฟล์เป็น PDF, TXT หรือ RTF ด้วย

ข้อมูลที่ถูกรวบรวมได้ทั้งหมดจะถูก Archive เก็บไว้ในไฟล์ ZIP และอัปโหลดไปยังเซิร์ฟเวอร์ของผู้โจมตี เพื่อให้ผู้โจมตีสามารถดึงข้อมูลเหล่านั้นไปใช้ได้

สิ่งที่น่าสนใจเป็นพิเศษคือ นักวิจัยพบว่ามัลแวร์จะเข้าไปแทนที่โปรแกรม Ledger Live และ Trezor Suite เวอร์ชันที่ถูกต้องด้วยเวอร์ชันที่เป็นอันตราย ซึ่งน่าจะมีจุดประสงค์เพื่อขโมยเหรียญ Crypto

แคมเปญนี้ถูกตรวจพบว่ามีการใช้เซิร์ฟเวอร์ Command-and-Control ที่ svs-verificationdate[.]beer และ 196.251.107[.]171

ตามหลักการทั่วไป ผู้ใช้ควรระมัดระวังอยู่เสมอเมื่อมีเว็บไซต์สั่งให้เปิด Terminal และรันคำสั่งต่าง ๆ โดยเฉพาะอย่างยิ่งเมื่อเว็บไซต์เหล่านั้นอ้างว่าเป็นส่วนหนึ่งของการยืนยันตัวตนด้วย CAPTCHA, การแก้ไขปัญหาเบราว์เซอร์ หรือขั้นตอนการแก้ไขปัญหาอื่น ๆ

หากคุณไม่เข้าใจการทำงานของคำสั่งนั้นแบบ 100% ก็อย่ารันคำสั่งนั้นเด็ดขาด

ที่มา : bleepingcomputer.com