มัลแวร์ MacSyncฝ่าระบบป้องกัน Gatekeeper macOS ได้
มัลแวร์ MacSync สามารถฝ่าระบบป้องกัน Gatekeeper ของ macOS ได้สบาย
macOS ครั้งหนึ่งเคยขึ้นชื่อในเรื่องไร้มัลแวร์ ความแข็งแกร่งของระบบสูง แต่วันนี้อาจจะต้องมีการตั้งคำถามถึงความเชื่อนี้ เนื่องจากเริ่มมีมัลแวร์หลากหลายตัวถูกพัฒนาขึ้นมาเพื่อโจมตีระบบ บางตัวก็ฉลาดล้ำในการฝ่าระบบรักษาความปลอดภัยของตัวระบบปฏิบัติการสุดแกร่งนี้ได้
จากรายงานโดยเว็บไซต์ Webpronews กล่าวถึงการตรวจพบมัลแวร์ที่มุ่งโจมตีกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS ตัวใหม่ที่มีชื่อว่า MacSync Stealer โดยมัลแวร์ดังกล่าวนั้นเป็นมัลแวร์ประเภท Infostealer หรือมัลแวร์ที่มีจุดประสงค์เพื่อการขโมยข้อมูลของเหยื่อ ซึ่งจะมุ่งขโมยข้อมูลอ่อนไหว เช่น รหัสผ่านที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์, รหัสสำหรับใช้งานกระเป๋าคริปโตเคอร์เรนซี และข้อมูลส่วนบุคคลต่าง ๆ นอกจากนั้น ยังมีสิ่งที่ทำให้มัลแวร์ตัวนี้มีความพิเศษมากขึ้นไปอีก นั้นคือ ความสามารถในการหลบเลี่ยง (Bypass) เครื่องมือป้องกันภัยไซเบอร์ของ Apple อย่าง Gatekeeper ได้อย่างง่ายดาย นอกจากนั้นตัวมัลแวร์ยังไม่มีความจำเป็นต้องทำงานผ่านเครื่องมือ Terminal ทำให้ตัวมัลแวร์สามารถเข้าถึงตัวระบบแล้วแอบทำงานอย่างเงียบเชียบจนเหยื่อไม่รู้ตัว
แคมเปญการแพร่กระจายของตัวมัลแวร์ MacSync นั้นแฮกเกอร์จะทำการสอดไส้มัลแวร์ให้แฝงตัวอยู่ในแอปพลิเคชันที่ถูกเขียนขึ้นบนภาษา Swift ในรูปแบบมัลแวร์นกต่อ (Dropper) โดยมักจะปลอมกายเป็นแอปพลิเคชันยอดนิยม เช่น PDF Viewer ซึ่งภายในไฟล์นั้นจะมาพร้อมกับไฟล์หลอกในรูปแบบ PDF (PDF Decoy) เพื่อหันเหความสนใจของเหยื่อ นอกจากนั้นยังมีการใช้รหัสผู้พัฒนาแอปพลิเคชันของ Apple หรือ Apple Developer ID ของแท้ไว้บนไฟล์แอปพลิเคชันนี้ ทำให้ตัว Gatekeeper เข้าใจว่าตัวแอปพลิเคชันเป็นของแท้ ไม่มีอันตราย และด้วยการปลอมตัวเป็นแอปพลิเคชันของแท้นี้ ยังจะมีอานิสงค์ให้ตัวมัลแวร์สามารถหลบเลี่ยงการตรวจจับของเครื่องมือป้องกันอื่น ๆ อย่าง XProtect หรือ Malware Removal Tool ไปได้ในเวลาเดียวกัน เนื่องจากตัวระบบเชื่อว่าแอปพลิเคชันที่ใช้ ID ของแท้นั้นไม่มีภัย (ซึ่งภายหลังทาง Apple ก็ได้ทำการลบ Apple Developer ID ที่มีความเกี่ยวข้องกับมัลแวร์ตัวนี้ออกเป็นที่เรียบร้อยแล้ว)
หลังจากที่รันไฟล์ขึ้นมา ตัวมัลแวร์ก็จะทำการตรวจสอบเครือข่าย (Network) ก่อนว่าตัวมัลแวร์กำลังทำงานภายใต้สภาวะจำลอง (Sandbox) ซึ่งถ้าพบว่าทำงานอยู่ในสภาวะปกติ ตัวมัลแวร์ก็จะเริ่มรันสคริปท์เพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดมัลแวร์ตัวจริง (Payload) ลงมา โดยมัลแวร์ตัวจริงนอกจากจะมีความสามารถตามที่กล่าวไว้ข้างต้นแล้ว ยังมีความสามารถในการเปิดประตูหลังของระบบ (Backdoor) เพื่อใช้ในการติดต่อกับเซิร์ฟเวอร์ C2 และแอบส่งข้อมูลที่ขโมยมาได้กลับไปยังเซิร์ฟเวอร์ (Exfiltration) ด้วย นอกจากนั้น ด้วยการที่มัลแวร์ MacSync ถูกสร้างขึ้นให้ทำงานในรูปแบบโมดูล (Module) ทำให้มัลแวร์สามารถดาวน์โหลดโมดูลเสริมในการเพิ่มความสามารถใหม่ ๆ ให้กับมัลแวร์โดยหลีกเลี่ยงระบบตรวจจับไปในตัวได้ในเวลาเดียวกัน
ทาง Apple หลังจากที่ทราบถึงการมีอยู่ของมัลแวร์ดังกล่าว ก็ได้ทำการตรวจสอบพร้อมทั้งยกเลิก Apple Developer ID ที่เกี่ยวข้องกับมัลแวร์ดังกล่าวในทันที และได้ทำการอัปเดตลักษณะเฉพาะของมัลแวร์ (Signature) ให้กับ XProtect เพื่อช่วยในการตรวจจับมัลแวร์ดังกล่าว
ในประสบการณ์ส่วนตัวกับการใช้ MacBook Pro มานาน ผมเคยคิดเสมอว่า macOS เป็นระบบที่ปลอดภัยสูงและแทบไม่มีมัลแวร์ แต่หลังจากได้อ่านข่าวเกี่ยวกับมัลแวร์ MacSync ที่สามารถหลบหลีกระบบ Gatekeeper ได้ ทำให้ผมรู้สึกไม่มั่นใจเหมือนเดิม เพราะมัลแวร์นี้สร้างขึ้นมาเฉพาะสำหรับฝ่าด่านความปลอดภัยที่ถือว่ายากลำบากของ Apple MacSync แฝงตัวมาในรูปแบบของแอปพลิเคชันที่ดูเหมือนของแท้ เช่น PDF Viewer ที่มีไฟล์หลอก (PDF Decoy) เพื่อเบี่ยงเบนความสนใจ เห็นได้ชัดว่าผู้ไม่หวังดีมีความชำนาญสูงและรู้วิธีใช้ Apple Developer ID แท้ๆ เพื่อให้ระบบ Gatekeeper มั่นใจว่าไม่มีอันตราย ซึ่งจริง ๆ แล้วเป็นกับดักแบบเนียนๆ สิ่งที่น่ากลัวคือ, มัลแวร์นี้ไม่ต้องเปิดผ่าน Terminal และยังตรวจสอบว่าถูกเรียกใช้ในสภาวะแวดล้อมจริงหรือ Sandbox ก่อนที่จะเริ่มทำงาน และยังสามารถดาวน์โหลดโมดูลเสริมเพื่อเพิ่มความสามารถด้านการถูกตรวจจับได้อย่างแนบเนียน นั่นหมายความว่าถึงแม้ระบบจะติดตามพฤติกรรมบางอย่าง, มัลแวร์ก็ยังสามารถหลบหนีได้เสมอ จากสิ่งที่ได้เรียนรู้ ทำให้ผมตั้งใจมากขึ้นในการติดตั้งซอฟต์แวร์ใหม่ ๆ บน Mac ว่าจะต้องดาวน์โหลดจากแหล่งที่น่าเชื่อถือเท่านั้น นอกจากนี้ยังแนะนำให้ผู้ใช้งาน macOS ทุกคนหมั่นอัปเดตระบบปฏิบัติการและโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ รวมถึงเปิดใช้งานฟีเจอร์ความปลอดภัยที่ Apple แนะนำอย่าง Gatekeeper และ XProtect เพื่อให้ระบบสามารถตรวจจับมัลแวร์รุ่นใหม่ได้ทัน สุดท้ายนี้ การรู้ทันเทคนิคหลอกลวงของแฮกเกอร์และมัลแวร์ที่พัฒนาขึ้นเรื่อยๆ เป็นสิ่งสำคัญมากสำหรับผู้ใช้ทั่วไป เพราะแม้ระบบจะแข็งแกร่งแค่ไหน แต่ความรู้และความระมัดระวังก็ช่วยลดความเสี่ยงภัยไซเบอร์ได้มากทีเดียว
