มัลแวร์เสริมพลัง AI สำหรับโจมตี macOS
มัลแวร์เสริมพลัง AI สำหรับโจมตี macOS "MonetaStealer"
macOS ซึ่งในอดีตนั้นถูกกล่าวขานว่าเป็นระบบปฏิบัติการที่มีความปลอดภัยสูงสุดนั้น ในยุคนี้ก็ยังมีส่วนถูกอยู่ แต่ก็ไม่จริงเสมอไป เนื่องจากมีมัลแวร์จำนวนมากที่มีความสามารถในการหาช่องโหว่เพื่อเล็ดลอด หรือแอบซ่อนตัวจากระบบรักษาความปลอดภัยเหล่านั้นตัวใหม่ ๆ ออกมาอ�ยู่ทุกวัน
จากรายงานโดยเว็บไซต์ Cyber Security News กล่าวถึงการตรวจพบมัลแวร์ประเภทเข้าขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ตัวใหม่ "MonetaStealer" ซึ่งมัลแวร์ตัวนี้จะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานที่ใช้ระบบปฏิบัติการ macOS โดยเฉพาะ ซึ่งทางทีมวิจัยจาก Iru บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือรักษาความปลอดภัยให้กับอุปกรณ์ปลายทาง (Endpoints) นั้นได้ตรวจพบมัลแวร์ดังกล่าวจากไฟล์สำหรับรัน (Binary) ในรูปแบบ Mach-o Binary ต้องสงสัยตัวหนึ่งในช่วงวันที่ 6 มกราคม ที่ผ่านมา ซึ่งไฟล์ดังกล่าวนั้นถึงแม้จะเป็นไฟล์สำหรับ macOS แต่ก็มีการตั้งชื่อลวงจนคล้ายกับไฟล์สำหรับการรันที่ใช้บนระบบปฏิบัติการ Windows (สกุลไฟล์ .Exe) ในชื่อว่า Portfolio_Review.exe
มัลแวร์ดังกล่าวนั้นจะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งาน macOS ที่ทำงานในอุตสาหกรรมการบริการแบบเฉพาะกิจ (Professional Industry) ที่มักจะได้รับไฟล์ Portfolio จากลูกค้า ทำให้แฮกเกอร์สามารถใช้ช่องทางนี้เพื่อปล่อยมัลแวร์ลงสู่เครื่องได้ ซึ่งตัวมัลแวร์นั้นมีความสามารถในการขโมยข้อมูลที่หลากหลายตั้งแต่ข้อมูลระบบ, รหัสผ่านที่ถูกบันทึกอยู่ในเว็บเบราว์เซอร์, ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซี, รหัส Wi-Fi, กุญแจ SSH และเอกสารด้านการเงินต่าง ๆ ซึ่งนอกจากความสามารถดังกล่าวแล้ว ตัวมัลแวร์ยังมีความสามารถในการตรวจสอบว่ากำลังรันอยู่บน macOS อยู่หรือไม่ ด้วยการใช้คำสั่ง
if sys.platform != 'darwin'
ซึ่งคำสั่งนี้เป็นคำสั่งที่สามารถรันได้บนระบบ macOS เท่านั้น นอกจากนั้นทางทีมวิจัยยังพบอีกว่า ตัวโค้ดนั้นถูกเขียนผ่านเครื่องมือปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence) ที่มีการพัฒนาด้วยวิธีการเรียนรู้ของเครื่อง (ML หรือ Machine Learning) อีกด้วย แต่จ��ากหลายสิ่งที่ตรวจพบทำให้ทีมวิจัยสันนิษฐานว่า ตัวมัลแวร์นั้นอยู่ในช่วงขั้นต้นของการพัฒนาเท่านั้น
แต่สิ่งที่น่ากลัวไปกว่าการใช้ AI มาพัฒนานั่นคือ หลังจากที่ทีมวิจัยได้ทดสอบมัลแวร์ดังกล่าวผ่านทางเว็บไซต์สำหรับการตรวจสอบไฟล์ไวรัสที่มีประสิทธิภาพสูงอย่าง VirusTotal กลับพบว่าไม่มีเครื่องมือใดสามารถตรวจมัลแวร์ตัวนี้เจอได้เลย (Zero-Detection Rate) และในการตรวจสอบองค์ประกอบต่าง ๆ ของมัลแวร์นั้น ทางทีมวิจัยพบว่า ไฟล์หลักของมัลแวร์ (Payload) นั้นมีชื่อไฟล์ว่า portfolio_app.pyc ซึ่งไฟล์นี้จะแอบซ่อนอยู่ในไฟล์สำหรับการติดตั้ง (Installer) ในรูปแบบ Pyinstaller ที่มีการซ่อนตรรกะ (Logic) ของมัลแวร์ไว้ภายในโครงสร้าง CArchive ที่ถูกบีบอัดอยู่อีกที ทำให้สามารถหลบเลี่ยงการถูกตรวจจับโดยเครื่องสแกนไฟล์แบบคงที่ (Static) ได้อย่างง่ายดาย
โดยหลังจากที่ทีมวิจัยได้ทำการแกะ (Decompiling) ไฟล์มัลแวร์ออกมาแล้ว กลับพบโค้ดกำกับ (Comment) ในภาษารัสเซีย ซึ่งทำให้คาดการณ์ได้ว่ามัลแวร์ตัวนี้อาจถูกพัฒนาโดยกลุ่มแฮกเกอร์ชาวรัสเซีย ทั้งยังไม่พบโค้ดสำหรับตีรวนการถูกตรวจจับ หรือการวิเคราะห์ (Obfuscation) แต่อย่างใด ทำให้สันนิษฐานได้อีกว่า กลุ่มผู้พัฒนาอาจมุ่งเน้นศักยภาพในการทำงาน (Functionality) มากกว่าการแฝงตัว (Stealth) นอกจากนั้นยังพบอีกว่าในระหว่างการรันมัลแวร์ตัวนี้ ตัวมัลแวร์จะมีการแสดงแบนเนอร์ที่เขียนว่า “PROFESSIONAL MACOS STEALER v2.0” ทั้งยังมีการรายงานความคือหน้าของการทำงานของโมดูล (Module) สำหรับการขโมยไฟล์หลากหลายโมดูลอีกด้วย
ทางทีมวิจัยยังได้ทำการเจาะลึกระบบการขโมยไฟล์จากเว็บเบราว์เซอร์ Google Chrome ซึ่งเป็นเป้าหมายสำคัญของมัลแวร์ตัวนี้ซึ่งจะเริ่มจากการทำการคัดลอกฐานข้อมูล (Database) แบบ SQLite ชั่วคราวเพื่อหลีกเลี่ยงการล็อกไฟล์ แล้วจึงทำการรันคำสั่ง
security find-generic-password -w -a "Chrome"
เพื่อดึงกุญแจหลัก (Master Key) ในรูปแบบ Base64 ของ Chrome ออกมาจาก macOS Keychain เพื่อนำมาใช้ในการถอดรหัส (Decryption) รหัสผ่านที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์ แต่ก็ยังมีความเสี่ยงคือ ในการปฏิบัติการนี้จะมีการนำไปสู่การเด้งหน้าจอเพื่อให้ผู้ใช้งานทำการใส่รหัสผ่านเพื่อปลดล็อกกุญแจรหัส (Keychain’s Password) เพื่อที่จะให้ปฏิบัติการนี้สามารถทำงานต่อได้ ซึ่งอาจทำให้ผู้ใช้งานสงสัยระแคะระคายว่ามีอะไรเกิดขึ้นภายในระบบ แต่ถ้าเหยื่อผู้ใช้งานเผลอใส่รหัสผ่านเพื่ออนุมัติไป ก็จะทำให้มัลแวร์สามารถส่งคำขอ (Queries) เพื่อดึงข้อมูลรหัสผ่านสำหรับการล็อกอิน, ไฟล์ Session Cookies และประวัติการเยี่ยมชมเว็บไซต์ ผ่านทางคำสั่ง SQL ซึ่งการค้นหานั้นจะมุ่งเน้นไปยังไฟล์ Cookies ที่มีการตั้งชื่อว่า “bank,” “crypto,” “exchange,” และ “paypal” เพื่อที่จะได้ไฟล์ในการเข้าใช้งานบริการการเงินต่าง ๆ ของเหยื่อ โดยตัวคำสั่งในการขโมยนั้นจะมีลักษณะ ดังนี้
print('[+] Stealing Chrome cookies...')
try:
host, name, path, encrypted_value = row
if any((keyword in host.lower() for keyword in ['bank', 'crypto',
'exchange', 'paypal'])) and self.stolen_data['browser']['cookies'].append({'host':
host, 'name': name, 'path': path}):
pass
conn.close()
except Exception as e:
print (f' X Error: {e}')
ในส่วนของการขโมยข้อมูลการเข้าเยี่ยมชมเว็บไซต์นั้น จะครอบคลุมตั้งแต่ข้อมูล URL ของเพจ, ชื่อเพจ และความถี่ในการเยี่ยมชม โดยข้อมูลเหล่านี้นั้นจะบ่งบอกถึงความสนใจของเหยื่อ ที่จะเป็นประโยชน์เพื่อการโจมตีในระลอกถัดไป ซึ่งข้อมูลที่ถูกขโมยได้ทั้งหมดนั้นจะถูกส่งไปให้กับบอทของแฮกเก�อร์ที่อยู่บนบริการแชท Telegram ที่มีชื่อว่า “b746_mac_collector_bot” พร้อม Bot ID 8384579537
จากประสบการณ์ส่วนตัวและจากข้อมูลวิจัยล่าสุด การโจมตีของมัลแวร์ MonetaStealer นั้นแสดงให้เห็นว่าแม้ระบบ macOS จะมีชื่อเสียงเรื่องความปลอดภัยสูง แต่อาชญากรไซเบอร์ก็ยังสามารถใช้เทคนิคร่วมกับ AI และ Machine Learning เพื่อพัฒนามัลแวร์ที่หลบหลีกการตรวจจับได้อย่างมีประสิทธิภาพ สิ่งที่น่าสนใจคือมัลแวร์นี้ถูกออกแบบมาให้เจาะกลุ่มผู้ใช้งานในสายอาชีพที่มักใช้ไฟล์ Portfolio ในการทำงาน ซึ่งเปิดโอกาสให้แฮกเกอร์แอบแฝงมัลแวร์ได้ง่าย โดย MonetaStealer ไม่เพียงแค่ขโมยรหัสผ่านในเบราว์เซอร์ แต่ยังดึงข้อมูลจาก keychain ของ macOS อย่างเช่นรหัส Wi-Fi หรือกุญแจ SSH ซึ่งเป็นข้อมูลที่สำคัญมากและมักจะถูกใช้ในการเข้าถึงระบบอื่นๆ อีกจุดที่ทำให้มัลแวร์นี้น่ากลัวคือ สามารถทำงานได้โดยที่เครื่องสแกนไวรัสหลายแห่งไม่พบ เนื่องจากการซ่อนโค้ดในรูปแบบ Pyinstaller และโครงสร้างไฟล์แบบ CArchive ที่บีบอัด รวมถึงการไม่ใส่โค้ดกวนการวิเคราะห์ (Obfuscation) แต่เน้นประสิทธิภาพการทำงานแทน นอกจากนี้ ผู้ใช้ macOS อาจเห็นหน้าต่างปลอมที่ขอรหัสผ่านเพื่อปลดล็อก keychain ซึ่งถ้านำไปใส่รหัสผ่านตามคำขอ จะช่วยให้มัลแวร์ถอดรหัสข้อมูลสำคัญต่างๆ ได้ทันที สิ่งที่แนะนำสำหรับผู้ใช้ macOS คืออย่ากดเปิดไฟล์ที่ไม่น่าเชื่อถือหรือไม่ได้มาจากแหล่งที่ชัวร์ โดยเฉพาะไฟล์ที่ชื่อดูผิดปกติ เช่นไฟล์ .exe บน macOS ควรใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่อัปเดตเสมอ และตั้งค่าความปลอดภัยให้เข้มงวด รวมถึงควรใช้รหัสผ่านที่แข็งแรง และมีการตรวจสอบหลายชั้น (2FA) กับบริการต่างๆ เพื่อป้องกันความเสียหายเมื่อเกิดเหตุการณ์ข้อมูลรั่วไหล ในฐานะผู้ใช้ macOS ที่เคยเจอข่าวมัลแวร์เจาะระบบระดับนี้ รู้สึกได้ว่าเทคโนโลยี AI แม้จะช่วยเราสร้างสรรค์ผลงานได้มากมาย แต่ก็ถูกนำไปใช้สร้างมัลแวร์ที่ซับซ้อนขึ้นเรื่อยๆ เราจึงต้องเพิ่มความรู้ความระมัดระวังตัวเองในด้านความปลอดภัยไซเบอร์ และไม่ประมาทในการใช้งานระบบเพื่อป้องกันการถูกโจมตีในยุค AI นี้อย่างแท้จริง
