MEXC เตือน ตรวจพบมัลแวร์บน macOS ตัวใหม่
MEXC เตือน ตรวจพบมัลแวร์บน macOS ตัวใหม่ มุ่งหน้าขโมยเหรียญคริปโตจากกระเป๋า
macOS ถึงแม้ที่ผ่านมาได้ได้ชื่อว่าเป็นระบบปฏิบัติการที่ปลอดภัยมากที่สุดตัวหนึ่งของโลกก็ตาม แต่ด้วยความนิยม ก็ได้ทำให้มีการพัฒนามัลแวร์ออกมาใหม่อยู่เรื่อย ๆ เพื่อเล่นงานผู้ใช้งานระบบปฏิบัติการนี้ และในครั้งนี้ก็เป็นอีกครั้งหนึ่งที่ผู้ใช้งาน macOS จะต้องหวาดระแวงกันอีกครั้ง
จากรายงานโดยเว็บไซต์ MEXC ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทขโมยข้อมูลของเหยื่อ หรือ Infostealer ตัวใหม่ที่มุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS ชื่อ MacSync Stealer (v1.1.2) โดยทีมวิจัยจาก SlowMist บริษัทผู้เชี่ยวชาญด้านการพัฒนาระบบรักษาความปลอดภัยให้ระบบนิเวศบล็อกเจน (Blockchain Ecosystem) ได้กล่าวถึงแคมเปญที่ทางทีมตรวจพบได้นี้ว่า ตัวมัลแวร์นั้นมีจุดประสงค์ในการขโมยข้อมูลกระเป๋าเก็บเงินคริปโตเคอร์เรนซี (Crypto Wallet) โดยจะมุ่งเน้นข้อมูลในส่วนของกุญแจส่วนตัว หรือ Private Key ของกระเป๋าเหล่านี้ เป็นหลัก ซึ่งจะช่วยให้แฮกเกอร์สามารถขโมยเงินภายในกระเป๋าได้ทันที โดยเป้าหมายของมัลแวร์จะครอบคลุมกระเป๋าเงินคริปโตยอดนิยมหลายตัว เช่น MetaMask, Trust Wallet และ Exodus เป็นต้น นอกจากนั้นตัวมัลแวร์ยังสามารถขโมยข้อมูลของกระเป๋าเงินแบบฮาร์ดแวร์ หรือ Hard Wallet และกระเป๋าเงินแบบส่วนเสริมเว็บเบราว์เซอร์ หรือ Extension ได้อีกด้วย
นอกจากนั้น ยังมีความสามารถในการขโมยข้อมูลที่หลากหลาย เช่น รหัสผ่าน (Password) ที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์, รหัสที่ถูกบันทึกว่าไว้ Keychain ของระบบ และกุญแจ (Key) สำหรับการใช้งานโครงสร้างพื้นฐาน (Infrastructure) เช่น SSH, AWS, และ K8s เป็นต้น ซึ่งข้อมูลในส่วนหลังนี้จะช่วยให้แฮกเกอร์สามารถเจาะเข้าใช้งานระบบคลาวด์ (Cloud) ที่เหยื่อใช้งานอยู่ได้ นอกจากนั้นยังมีความสามารภในการล่องหนซ่อนตัวได้เป็นเยี่ยม ทำให้ถูกตรวจจับโดยโปรแกรมแอนตี้ไวรัส (Anti-Virus) ต่าง ๆ ได้ยากมาก
ในส่วนของแคมเปญนั้น ทางทีมิวิจัยได้อธิบายว่า แฮกเกอร์จะเริ่มจากการหลอกลวงให้เหยื่อเข้าลิงก์หลอกลวง (Phishing) โดยอ้างว่าภายในลิงก์นั้นมีการแจกจ่ายตัวแคร็ก (Crack) สำหรับช่วยให้ใช้ซอฟต์แวร์เถื่อนได้ฟรี, อัปเดต (ปลอม), และ อื่น ๆ ที่ปรับตามความต้องการของเป้าหมายของแฮกเกอร์ โดยหลังจากที่เหยื่อดาวน์โหลดลงมาติดตั้งลงบนเครื่อง ตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) แล้วทำการขโมยข้อมูลที่กล่าวไว้ข้างต้น ลักลอบส่งออก (Exfiltration) ไปยังตัวเซิร์ฟเวอร์ C2 ในทันที
มัลแวร์ตัวนี้ยังมีความสามารถอันร้ายกาจในการฝ่าระบบป้องกัน (Bypass) ของ macOS ทั้งยังสามารถใช้สิทธิ์ (Permission) ในระดับผู้ดูแลระบบ (System) ในการเข้าถึงข้อมูลสำคัญบน Keychain และเว็บเบราว์เซอร์ และสำหรับเวอร์ชัน 1.1.2 ซึ่งเป็นเวอร์ชันล่าสุดของมัลแวร์ตัวนี้ ก็ได้มีความสามารถในการทำให้ระบบเกิดความสับสน (Obfuscation) ในระดับสูง เช่น การเข้ารหัส (Encryption) ไฟล์มัลแวร์ (Payload) เพื่อหลบเลี่ยงระบบตรวจสอบเอกลักษณ์ของมัลแวร์ (Signature-based Protection), การใช้งานเครื่องมือที่มีอยู่แล้วบน macOS อย่าง osascript เพื่อหลอกให้เหยื่อป้อนรหัสผ่านของระบบ ซึ่งในการป้องกันนั้น ทางทีมวิจัยระบุว่า ผู้ใช้งานควรปิดระบบการรันสคริปท์อัตโนมัติ และหาเครื่องมือสำหรับการป้องกันภัยไซเบอร์บนอุปกรณ์ปลายทาง หรือ EDR (Endpoint Detection and Response) เข้ามาใช้งาน เพื่อป้องกันมัลแวร์ตัวนี้ รวมทั้งใช้งานแอปพลิเตชันต่าง ๆ จากแอปสโตร์อย่างเป็นทางการเท่านั้น ก็จะช่วยลดความเสี่ยงลงไปได้
ในฐานะที่ใช้งาน macOS มาเป็นประจำและเป็นผู้ถือครองเหรียญคริปโตส่วนตัว การได้รับข่าวเกี่ยวกับมัลแวร์ MacSync Stealer นี้ทำให้ผมตื่นตัวและเริ่มมองหาวิธีป้องกันอย่างจริงจังมากขึ้น มัลแวร์ MacSync Stealer ที่พบในเวอร์ชัน 1.1.2 นี้ นอกจากที่จะขโมยข้อมูลสำคัญอย่าง Private Key ของกระเป๋าเงินดิจิทัลแล้ว ยังสามารถขโมยรหัสผ่านที่เก็บไว้ในระบบ Keychain และเบราว์เซอร์ รวมถึงกุญแจสำหรับเข้าถึงเซิร์ฟเวอร์และระบบ Cloud ต่าง ๆ อีกด้วย ซึ่งนับเป็นภัยคุกคามที่ร้ายแรงอย่างยิ่งสำหรับนักลงทุนและผู้ใช้ macOS ทั่วไป จากประสบการณ์ส่วนตัว ผมพบว่าการดาวน์โหลดซอฟต์แวร์หรือแอปต่าง ๆ ควรจะดาวน์โหลดจากแหล่งทางการอย่าง App Store เท่านั้น และหลีกเลี่ยงการคลิกลิงก์หรือโปรแกรมที่ดูไม่น่าเชื่อถือ เช่น Crack หรือซอฟต์แวร์เถื่อนที่แชร์ในลักษณะ Phishing เพราะนั่นเป็นช่องทางที่แฮกเกอร์มักใช้ปล่อยมัลแวร์เข้าเครื่อง ผมเองได้เพิ่มเติมการตั้งค่าปิดการรันสคริปต์อัตโนมัติบน macOS และติดตั้งเครื่องมือ Endpoint Detection and Response (EDR) เพื่อช่วยตรวจจับภัยคุกคามในระดับอุปกรณ์ปลายทาง ซึ่งช่วยเพิ่มความปลอดภัยมากขึ้น ประสิทธิภาพของโปรแกรมเหล่านี้ทำให้สามารถตรวจจับพฤติกรรมผิดปกติที่ซ่อนอยู่และป้องกันการขโมยข้อมูลได้ดีกว่าแอนตี้ไวรัสแบบทั่วไป ทั้งนี้ ยังควรสำรองข้อมูลและกุญแจส่วนตัวไว้ในอุปกรณ์เก็บแบบออฟไลน์ หรือ Hardware Wallet เท่านั้น และไม่แนะนำให้เก็บกุญแจสำคัญไว้ในเครื่องที่เชื่อมต่ออินเทอร์เน็ตอย่างเดียว โดยเฉพาะอย่างยิ่งสำหรับเหรียญที่มีมูลค่าสูง ในภาพรวมแล้ว ข่าวนี้เตือนเราให้ระวังภัยไซเบอร์บน macOS เพิ่มขึ้น โดยเฉพาะอย่างยิ่งกับกลุ่มผู้ใช้งานที่เกี่ยวข้องกับคริปโตเคอร์เรนซี การรักษาความปลอดภัยขั้นสูงและพฤติกรรมออนไลน์ที่ระมัดระวังจะเป็นกุญแจสำคัญในการปกป้องทรัพย์สินดิจิทัลของเราได้อย่างมีประสิทธิภาพ
