พบแคมเปญ ClickFix ตัวใหม่ โจมตี macOS
ตรวจพบแคมเปญ ClickFix ตัวใหม่ มุ่งเล่นงานกลุ่มผู้ใช้งาน macOS ที่เสิร์ชหาวิธีแก้ปัญหาระบบ
ผู้ใช้งานระบบปฏิบัติการ macOS มักจะมีความมั่นใจในระบบรักษาความปลอดภัยที่มีความแข็งแกร่งอย่างเสมอมา แต่ปัญหาก็เริ่มจะมีให้เห็นบ่อย ๆ ในช่วงปีที่ผ่านมานั้นจะเห็นได้ว่ามีข่าวเกี่ยวกับมัลแวร์ และกลวิธีการแฮกใหม่ ๆ ที่มุ่งเน้นการโจมตี macOS มากขึ้นทุกวัน และครั้งนี้ก็เป็นอี�กครั้งหนึ่งที่ macOS ตกเป็นเป้าหมาย
จากรายงานโดยเว็บไซต์ซื้อขายแลกเปลี่ยนเหรียญคริปโตเคอร์เรนซี MEXC ได้กล่าวถึงการตรวจพบแคมเปญปล่อยมัลแวร์ใส่กลุ่มผู้ใช้งานระบบปฏิบัติการ macOS ด้วยวิธีการ ClickFix หรือ การใช้งานแจ้งเตือนข้อผิดพลาดปลอมเพื่อหลอกให้รันโค้ดดาวน์โหลดและติดตั้งมัลแวร์ โดยแคมเปญนี้ทางทีมวิจัย Defender Security Research Team จากบริษัทไมโครซอฟท์ ได้ตรวจพบในช่วงปลายปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งตัวแคมเปญนั้นตัวแฮกเกอร์จะทำการโพสต์วิธีแก้ปัญหา (Troubleshooting) ที่เกิดขึ้นระหว่างการใช้งาน macOS บนช่องทางต่าง ๆ เช่น Medium, Craft, และ Squarespace เพื่อล่อลวงให้เหยื่อที่กำลังค้นหาวิธีแก้ปัญหาที่เกิดขึ้นระหว่างการใช้งาน macOS บนระบบค้นหา (Search Engine) ต่าง ๆ หลงเข้ามาติดกับกับบทความสอดไส้คำแนะนำล่อลวงให้รันโค้ดอันตรายเพื่อติดตั้งมัลแวร์นี้
โดยหลังจากที่เหยื่อหลงเข้ามาอ่านบทความดังกล่าวแล้ว ตัวบทความจะแนะนำให้เหยื่อทำการวางโค้ดบนแอปพลิเคชัน Terminal เพื่อดาวน์โหลดมัลแวร์ลงมาบนเครื่อง โดยอ้างว่าวิธีการดังกล่าวนั้นเป็นการแก้ปัญหาการใช้งาน macOS ที่ผู้ใช้งานค้นหาอยู่ ซึ่งหลังจากที่รันโค้ดเรียบร้อย ก็จะนำมาซึ่งการดาวน์โหลดสิ่งเหล่านี้ลงมา
มัลแวร์นกต่อ (Loader)
สคริปท์
เครื่องมือช่วยเหลือ (Helper)
ซึ่งเครื่องมือทั้ง 3 เหล่านี้จะทำหน้าที่ในการเก็บข้อมูลอ่อนไหว (Sensitive Data), สร้างความคงทนอยู่บนระบบให้กับมัลแวร์ (Persistence), และ แอบส่งข้อมูลกลับไปให้ยังแฮกเกอร์ (Exfiltration) โดยมัลแวร์ที่แฮกเกอร์อาจเอามาใช้บนแคมเปญนี้นั้น ทางทีมวิจัยกล่าวว่า มีการตรวจพบว่าแฮกเกอร์ได้ใช้ทั้ง AMOS, Macsync, และ SHub Stealer ซึ่งเป็นมัลแวร์ที่มุ่งเน้นการโจมตีผู้ใช้งาน macOS โดยเฉพาะ โดยจะเป็นการเลือกใช้ตัวใดตัวหนึ่งบนแต่ละบทความล่อลวงที่แฮกเกอร์วางกับดักไว้ ซึ่งมัลแวร์เหล่านี้ล้วนแต่มีประสิทธิภาพในการขโมยข้อมูลที่ร้ายกาจทั้งสิ้น โดยมัลแวร์เหล่านี้ จะทำการเจาะ บัญชี iCloud และ Telegram เพื่อเข้าค้นหาข้อมูลส่วนตัว (Private Data) ในรูปแบบไฟล์เอกสารและรูปภาพที่มีขนาดต่ำกว่า 2MB ทั้งยังมีความสามารถในการขโมยกุญแจ (Key) ที่ใช้ในการกู้กระเป๋าเงินคริปโตเคอร์เรนซี (Wallet) ยอดนิยม เช่น Exodus, Ledger, และTrezor รวมทั้งสามารถขโมยรหัสผ่านที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์ Chrome และ Firefox ได้อีกด้วย
สำหรับการทำงานของมัลแวร์นั้น หลังจากที่เหยื่อรันโค้ดและติดตั้งมัลแวร์ลงบนเครื่อง ตัวมัลแวร์ก็จะทำการเด้งกล่องข้อความ (Dialog) ขึ้นมาเพื่อขอให้ผู้ใช้งานทำการป้อนรหัสผ่านสำหรับใช้งานระบบ (System Password) โดยอ้างว่าเพื่อติดตั้งตัว Helper ลงบนเครื่อง ซึ่งถ้าเหยื่อหลงเชื่อป้อนลงไป ก็จะทำให้แฮกเกอร์สามารถเข้าถึงระบบของเหยื่อได้อย่างสมบูรณ์ในทันที
ในส่วนความสามารถเพิ่มเติมของมัลแวร์บนแคมเปญนี้นั้น ทางทีมวิจัยพบว่าองค์ประกอบต่าง ๆ ของมัลแวร์นั้นมีความสามารถมากมาย เช่น ตัว Loader นั้นจะมีการตรวจสอบเครื่องก่อนทำงาน และถ้าพบว่าคีย์บอร์ดนั้นมีการตั้งค่าเพื่อใช้งานภาษารัสเซีย ตัว Loader ก็จะหยุดทำงานในทันที, ในบางกรณีแทนที่มัลแวร์จะทำการขโมยข้อมูลบนกระเป๋าเงินคริปโตเคอร์เรนซีแบบทั่วไป กลับทำการสับเปลี่ยนแอปพลิเคชันการใช้งานกระเป๋าเงินคริปโตเคอร์เรนซีบนเครื่องของเหยื่อเป็นเวอร์ชันสอดไส้มัลแวร์ไว้อีกที ซึ่งจะครอบคลุมกระเป๋าทั้ง 3 รายชื่อที่กล่าวไว้ข้างต้น นอกจากนั้นยังพบว่า เพื่อการซ่อนมัลแวร์บนระบบอย่างมิดชิด แฮกเกอร์ที่อยู่เบื้องหลังยังได้มีการใช้งานเครื่องมือหลายอย่างบน macOS อย่าง curl และ osascript เพื่อการรันมัลแวร์แบบไร้ไฟล์ (Fileless) บนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้ถูกตรวจสอบภายหลังได้ยากอีกด้วย
เมื่อไม่นานมานี้ ผมได้มีโอกาสติดตามข่าวเกี่ยวกับแคมเปญมัลแวร์ ClickFix ที่มุ่งโจมตีผู้ใช้ macOS อย่างจริงจัง โดยเฉพาะกลุ่มที่ค้นหาวิธีแก้ไขปัญหาระบบผ่านอินเทอร์เน็ต ซึ่งวิธีการโจมตีคือการหลอกลวงให้เหยื่อรันโค้ดใน Terminal โดยแฝงเป็นคำแนะนำแก้ปัญหาต่าง ๆ ทำให้มัลแวร์ส่งผลเสียรุนแรงกับข้อมูลในเครื่องได้ จากประสบการณ์ส่วนตัว ผมเห็นว่าความมั่นใจของผู้ใช้ macOS ในเรื่องความปลอดภัยมักสูงกว่าแพลตฟอร์มอื่น ๆ แต่ในยุคนี้ไม่ควรมองข้ามความเสี่ยง โดยเฉพาะมัลแวร์ที่สามารถขโมยข้อมูลสำคัญ เช่น รหัสผ่านที่เก็บในเบราว์เซอร์ หรือแม้แต่กุญแจเข้ากระเป๋าเงินคริปโต ซึ่งหากหลงเชื่อพิมพ์รหัสผ่านระบบให้มัลแวร์ จะทำให้แฮกเกอร์เข้าถึงเครื่องได้เต็มที่ทันที จากบทความ ผมได้รับข้อมูลว่ามัลแวร์ในแคมเปญนี้มีความซับซ้อนสูง เช่นสามารถตรวจสอบการตั้งค่าภาษาบนเครื่องเพื่อหลีกเลี่ยงการถูกจับได้ อีกทั้งยังใช้เทคนิครันโค้ดในหน่วยความจำโดยตรง (Fileless malware) ทำให้การสืบค้นและตรวจจับเป็นเรื่องยากมากขึ้น การป้องกันเบื้องต้นที่ผมแนะนำคืออย่ารันคำสั่งใด ๆ ใน Terminal ที่ได้มาจากแหล่งที่ไม่เชื่อถือ และควรตรวจสอบข้อมูลจากแหล่งที่น่าเชื่อถือเท่านั้น นอกจากนี้ ควรใช้ซอฟต์แวร์ป้องกันมัลแวร์ และเปิดใช้การตรวจสอบสิทธิ์สองขั้นตอน (2FA) สำหรับบัญชีออนไลน์สำคัญ เช่น iCloud และกระเป๋าเงินคริปโต เมื่อไม่นานนี้ ผมได้ช่วยเพื่อนที่โดนหลอกให้รันโค้ดแบบเดียวกัน ผลสุดท้ายเครื่องได้รับผลกระทบและข้อมูลสำคัญรั่วไหล การแก้ไขหลังจากนั้นว่ากันว่าค่อนข้างยุ่งยาก และทำให้ต้องใช้งานระบบด้วยความระมัดระวังมากขึ้น การรักษาความปลอดภัยใน macOS ยังจำเป็นต้องเพิ่มความรู้และความระมัดระวังมากขึ้นในยุคที่กลุ่มแฮกเกอร์มีเทคนิคที่ซับซ้อนแบบนี้ การเป็นผู้ใช้ที่มีสติในการค้นหาข้อมูลและติดตั้งซอฟต์แวร์จะช่วยลดความเสี่ยงได้มากทีเดียว
