ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

TodoSwift มัลแวร์ใหม่จากเกาหลีเหนือ มุ่งถล่มผู้ใช้ macOS

TodoSwift มัลแวร์ใหม่จากเกาหลีเหนือ มุ่งถล่มผู้ใช้ macOS
ภาพจาก : https://www.securitylab.ru/news/551353.php
เมื่อ :
|  ผู้เข้าชม : 1,910
เขียนโดย :
0 TodoSwift+%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88%E0%B8%88%E0%B8%B2%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%B2%E0%B8%AB%E0%B8%A5%E0%B8%B5%E0%B9%80%E0%B8%AB%E0%B8%99%E0%B8%B7%E0%B8%AD+%E0%B8%A1%E0%B8%B8%E0%B9%88%E0%B8%87%E0%B8%96%E0%B8%A5%E0%B9%88%E0%B8%A1%E0%B8%9C%E0%B8%B9%E0%B9%89%E0%B9%83%E0%B8%8A%E0%B9%89+macOS
A- A+
แชร์หน้าเว็บนี้ :

จากรายงานข่าวโดยเว็บไซต์ The Hacker News นักวิจัยจากบริษัทพัฒนาซอฟต์แวร์เพื่อการจัดการอุปกรณ์ (Device Management) ของ Apple โดยเฉพาะ Kandji ได้ออกมาเปิดเผยถึงการตรวจพบมัลแวร์ตัวใหม่ TodoSwift ซึ่งทางนักวิจัยเองนั้นตั้งข้อสงสัยว่าต้นกำเนิดอาจจะมาจากทางประเทศเกาหลีเหนือ โดยให้ความเห็นว่า “พฤติกรรมการทำงานของมัลแวร์ตัวนี้นั้น มีความคล้ายคลึงกับมัลแวร์ที่มาจากเกาหลีเหนือหลายตัว โดยเฉพาะมัลแวร์ที่ถูกปล่อยโดยกลุ่มแฮกเกอร์ BlueNoroff เช่น KANDYKORN และ RustBucket”

ซึ่งมัลแวร์ที่ถูกพาดพิงถึงทั้ง 2 ตัวนี้นั้นถูกใช้งานโดยกลุ่ม Lazarus Group ซึ่งเป็นแฮกเกอร์กลุ่มย่อยที่แตกสายออกมาจาก BlueNoroff โดยมัลแวร์ RustBucket นั้นถูกพบว่ามีการระบาดมาตั้งแต่ปี ค.ศ. 2023 (พ.ศ. 2566) ซึ่งมัลแวร์ตัวนี้จะเป็นประเภทการสร้างประตูหลังของระบบ (Backdoor) พร้อมทั้งมีการติดต่อเพื่อดาวน์โหลดไฟล์มัลแวร์ตัวอื่น ๆ กับทางเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ขณะที่ KANDYKORN จะมุ่งเน้นไปที่การขโมยข้อมูล

บทความเกี่ยวกับ Malware อื่นๆ

โดยมีรายงานว่ามัลแวร์ตัวดังกล่าวถูกใช้ขโมยข้อมูลจากกลุ่มวิศวกรผู้เชี่ยวชาญทางด้าน Blockchain จากบริษัทที่ทำกิจการตลาดซื้อขายแลกเปลี่ยนคริปโตเคอร์เรนซีแห่งหนึ่ง โดยมัลแวร์ตัวดังกล่าวนอกจากจะมีความสามารถในการขโมย ส่งข้อมูลให้กับทางเซิร์ฟเวอร์ของแฮกเกอร์แล้ว ยังมีความสามารถในการรันโค้ดที่ไม่ได้รับอนุญาตบนเครื่องของเหยื่อ พร้อมทั้งสามารถปิด Process ต่าง ๆ ที่กำลังทำงานอยู่ได้อีกด้วย

สำหรับมัลแวร์ TodoSwift นั้น ทางแหล่งข่าวไม่ได้ระบุชัดเจนว่าแฮกเกอร์ใช้วิธีการใดในการส่งถึงเหยื่อ แต่ตัวไฟล์มัลแวร์นั้นถูกเผยแพร่ในรูปแบบ Signed file (ไฟล์ที่ถูกรับรองด้วยลายเซ็นดิจิทัล) ในชื่อ TodoTasks และสำหรับภายหลังการตรวจสอบของทีมวิจัยพบว่าในส่วนของ GUI นั้นถูกเขียนขึ้นด้วยเครื่องมือสำหรับพัฒนาส่วนของ Interface ชื่อดังอย่าง SwiftUI

โดยแฮกเกอร์ได้ทำการปลอมแปลงให้ตัวไฟล์มัลแวร์นั้นปลอมตัวเป็นไฟล์ PDF ที่อวดอ้างว่าเป็นข้อมูลสำคัญเกี่ยวกับ Bitcoin ซึ่งการปลอมตัวในลักษณะนี้เป็นไปได้ที่ตัวมัลแวร์จะมุ่งเน้นโจมตีผู้ที่สนใจในการลงทุนคริปโตเคอร์เรนซี่ ซึ่งหลังจากที่เหยื่อได้การเปิดอ่านไฟล์ดังกล่าวแล้ว ตัวไฟล์ PDF จริงที่อัปโหลดอยู่บน Google Drive ก็จะถูกเปิดขึ้นมาจนเหยื่อตายใจ แต่ลับหลังแล้วตัวแอปพลิเคชันปลอมนี้ก็จะทำการดาวน์โหลดมัลแวร์ตัวจริงลงมาจากเซิร์ฟเวอร์ควบคุม (C2) ที่ตั้งอยู่บนโดเมนของแฮกเกอร์ที่มีชื่อว่า buy2x[.]com ลงมาด้วยเทคนิค “Second-Stage Binary” ซึ่งเป็นเทคนิคเดียวกันกับที่มัลแวร์ RustBucker ใช้เพื่อทำการเก็บข้อมูลต่าง ๆ ที่อยู่บนเครื่อง เช่น รุ่นของฮาร์ดแวร์ และ รุ่นของระบบปฏิบัติการ ส่งกลับไปที่เซิร์ฟเวอร์ควบคุมและเปิดทางให้แฮกเกอร์ปล่อยมัลแวร์ต่าง ๆ เพิ่มเติมลงมาในขั้นตอนถัดไป

นอกจากนั้นแล้ว ทางนักวิจัยยังได้กล่าวถึงจุดสำคัญที่ทำให้มัลแวร์ดังกล่าวนั้นมีความร้ายกาจมากพอในการทำอันตรายต่อระบบ macOS ที่ครั้งหนึ่งหลายคนมั่นใจในความแข็งแกร่ง “มัลแวร์ตัวดังกล่าวนั้นนอกจากจะสามารถติดต่อสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน API ได้แล้ว ยังมีความสามารถในการเขียนข้อมูล และรันไฟล์เองบนเครื่องของเหยื่อได้อีกด้วย”

จากแหล่งข่าวนอกจากแหล่งกำเนิดของมัลแวร์แล้วก็ไม่ได้มีการเปิดเผยว่ามัลแวร์นี้กำลังระบาดอยู่ในภูมิภาคใด หรือมีซอฟต์แวร์สำหรับใช้ในการป้องกัน และขจัดมัลแวร์ตัวดังกล่าวหรือยัง ดังนั้น ขอให้ผู้อ่านทุกท่านมีความระมัดระวังในการเปิดไฟล์ ที่ในความเป็นจริงอาจเป็นกับดักที่แฮกเกอร์วางไว้เพื่อให้เกิดการติดตั้ง และรันมัลแวร์ก็เป็นได้


ที่มา : thehackernews.com , www.kandji.io , securityonline.info , threatresearch.ext.hp.com

0 TodoSwift+%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88%E0%B8%88%E0%B8%B2%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%B2%E0%B8%AB%E0%B8%A5%E0%B8%B5%E0%B9%80%E0%B8%AB%E0%B8%99%E0%B8%B7%E0%B8%AD+%E0%B8%A1%E0%B8%B8%E0%B9%88%E0%B8%87%E0%B8%96%E0%B8%A5%E0%B9%88%E0%B8%A1%E0%B8%9C%E0%B8%B9%E0%B9%89%E0%B9%83%E0%B8%8A%E0%B9%89+macOS
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น