แคมเปญ ClickFix แบบใหม่บน macOS กำลังใช้คำสั่ง Terminal เพื่อดาวน์โหลด, Mount และรันมัลแวร์ขโมยข้อมูลจากไฟล์ Disk image (DMG) ที่เป็นอันตรายอย่างเงียบ ๆ
แคมเปญนี้กำลังแพร่กระจายมัลแวร์ลงในอุปกรณ์ Mac ด้วยมัลแวร์ขโมยข้อมูลที่ชื่อว่า Atomic macOS Stealer (AMOS) ซึ่งจะขโมยข้อมูล Credentials บนเบราว์เซอร์, ข้อมูล Crypto wallet, ข้อมูล Keychain, ข้อมูลแอปส่งข้อความ และ Documents ต่าง ๆ ของผู้ใช้
นักวิจัยจาก Unit 42 ของ Palo Alto Networks เป็นผู้ค้นพบแคมเปญนี้เป็นครั้งแรก และระบุว่า การโจมตีจะเริ่มต้นจากหน้า CAPTCHA ปลอมที่หลอกให้ผู้ใช้เปิด Terminal แล้ววางคำสั่งที่เป็นอันตรายลงไปเพื่อยืนยันตัวตน
เมื่อรันคำสั่งดังกล่าวแล้ว มัลแวร์จะทำการดาวน์โหลดไฟล์ DMG จากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทำการ Mount ไฟล์อย่างเงียบ ๆ ด้วยเครื่องมือ hdiutil ที่มีอยู่ใน macOS จากนั้นจะค้นหาชุดแอปพลิเคชันที่อยู่ข้างใน และเปิดใช้งานโดยอัตโนมัติ
ClickFix เป็นเทคนิค Social Engineering ที่จะแสดงหน้า CAPTCHA ปลอม, ข้อความแจ้งเตือน Errors ของเบราว์เซอร์ หรือการแจ้งเตือนของระบบ เพื่อหลอกให้ผู้ที่เข้ามาเยี่ยมชมเว็บไซต์ทำการคัดลอก และรัน "คำแนะนำในการแก้ไขปัญหา" ซึ่งผู้โจมตีเป็นคนเตรียมไว้ให้ เทคนิคนี้ได้รับความนิยมเพิ่มขึ้นอย่างมากในกลุ่มผู้ไม่หวังดีในช่วงปีที่ผ่านมา และถูกนำไปใช้แพร่กระจายมัลแวร์โดยทั้งกลุ่มอาชญากรไซเบอร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล
แม้ว่าการโจมตีแบบ ClickFix ที่เกี่ยวข้องกับไฟล์ DMG จะไม่ใช่เรื่องใหม่ แต่ในแคมเปญก่อนหน้านี้มักจะอาศัยให้ผู้ใช้ทำการเปิดไฟล์ DMG ที่ดาวน์โหลดมาด้วยตัวเอง เพื่อเปิดแอปพลิเคชันที่เป็นอันตราย หรือรันสคริปต์จากเซิร์ฟเวอร์ของผู้โจมตี
แคมเปญที่ตรวจพบโดย Palo Alto ได้นำทั้งสองแนวทางมาผสานรวมกัน โดยใช้คำสั่ง Terminal เพื่อดาวน์โหลดไฟล์ DMG อย่างเงียบ ๆ และเปิดใช้งานมัลแวร์ที่แฝงอยู่ภายใน
หลังจากรันคำสั่ง Terminal การโจมตีจะทำการดาวน์โหลดไฟล์ DMG ที่เป็นอันตรายจาก svs-verificationdate[.]beer โดยใช้คำสั่ง curl พร้อมกับ flags -fsSL เพื่อซ่อนการแสดงผลการทำงาน และบันทึกไฟล์ลงในโฟลเดอร์ /tmp ด้วยการสุ่มชื่อไฟล์
จากนั้น คำสั่งดังกล่าวจะสั่งรัน hdiutil attach -nobrowse เพื่อทำการ Mount disk image ที่ดาวน์โหลดมา โดยไม่ให้แสดงผลใน Finder หรือบนหน้าจอ Desktop
หลังจากนั้น สคริปต์จะทำการค้นหาลึกลงไปสูงสุด 3 ระดับของโฟลเดอร์ เพื่อหาไฟล์ติดตั้ง .app หรือ .pkg ตัวแรกที่เจอ และหากพบไฟล์ดังกล่าว ก็จะเปิดใช้งานโดยใช้คำสั่ง open ของ macOS
นักวิจัยพบว่ามัลแวร์ถูกส่งมาในรูปแบบ Disk image ที่ชื่อว่า "s.01M0td.
