พบมัลแวร์ HZ RAT มุ่งโจมตีผู้ใช้ macOS หวังเก็บข้อมูล WeChat

การใช้งานแอปพลิเคชัน WeChat สำหรับการติดต่อสื่อสารนั้น อาจเป็นที่คุ้นเคยกันดีสำหรับกลุ่มผู้ที่ทำงานร่วมกับทางประเทศจีน แต่คุณอาจต้องระวังตัวกับการใช้งานให้มากขึ้น โดยเฉพาะกลุ่มผู้ใช้งาน WeChat บน macOS

จากรายงานโดยเว็บไซต์ Cyber Security News ทีมวิจัยแห่ง Kaspersky บริษัทผู้พัฒนาแอนตี้ไวรัสชื่อดัง ได้ตรวจพบมัลแวร์ HZ RAT ซึ่งเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล (Remote Access Trojan หรือ RAT) ผ่านทางการเปิดประตูหลังของระบบ (Backdoor) ซึ่งจากการตรวจสอบแล้ว ตัวมัลแวร์มุ่งเน้นกลุ่มผู้ใช้งานระดับองค์กรที่ใช้งานแอปพลิเคชันแชทอย่าง WeChat และ DingTalk บนเครื่องที่ใช้ระบบปฎิบัติการ macOS ซึ่งการโจมตีระบบนี้นั้นนับว่าเป็นสิ่งใหม่ที่พึ่งตรวจเจอในปีนี้ หลังจากที่มัลแวร์ตัวดังกล่าวได้โจมตีกลุ่มผู้ใช้งานระบบปฎิบัติการ Windows ไปแล้วตั้งแต่ปี ค.ศ. 2022 (พ.ศ. 2565)

โดยการทำงานของเวอร์ชัน macOS นั้นจะมีความใกล้เคียงกับเวอร์ชัน Windows มากแทบทุกด้าน เพียงแต่จะมีจุดที่แตกต่างกันคือวิธีการปล่อยมัลแวร์ (Payload) ลงสู่เครื่องซึ่งจะเป็นการรัน Shell Script ที่ถูกส่งมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) โดยในเวอร์ชัน macOS บางตัวนั้นจะมีการใช้ Local IP Addresses มาเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) อีกด้วย

สำหรับการแพร่กระจายตัวของมัลแวร์ HZ RAT เวอร์ชัน macOS นั้น ทางทีมวิจัยได้ตรวจพบว่าตัวมัลแวร์ได้ปลอมตัวเป็นแอปพลิเคชันสำหรับเข้าใช้งาน VPN (Virtual Private Network) ที่มีชื่อว่า OpenVPN Connect (OpenVPNConnect.pkg) ซึ่งจะมีไฟล์ที่เกี่ยวข้องกับมัลแวร์ 3 ตัวที่อยู่ภายในโฟลเดอร์ macOS หลังจากที่คลายแพ็กเกจดังกล่าวออกมาคือ

• ไฟล์แอปพลิเคชัน OpenVPN Connect ตัวจริง
• ไฟล์ exe
• ไฟล์ init

ซึ่งในส่วนของการทำงานนั้น ตัวระบบจะทำการรันไฟล์ที่แฝง Shell Scripts ที่มีชื่อว่า exe ขึ้นมาก่อน ตามมาด้วยไฟล์ init ซึ่งเป็นไฟล์สำหรับการเปิดประตูหลัง (Backdoor) ของตัวระบบที่จะทำการเชื่อมต่อการเซิร์ฟเวอร์ควบคุม (C2) ทันทีหลังจากที่รันขึ้นมา ซึ่งการเชื่อมต่อและส่งข้อมูลนั้นจะถูกป้องกันการดักฟังด้วยระบบเข้ารหัส XOR ด้วยการใช้กุญแจเข้ารหัส 0x42 ผ่านทางพอร์ต 8081 อีกทั้งยังใช้ Private IP Address ในการเชื่อมต่อระหว่างเครื่องเหยื่อกับเซิร์ฟเวอร์อีกด้วย และท้ายสุดตามมาด้วยไฟล์ OpenVPN ตัวจริงหลอกเหยื่อที่ใช้งานว่าไม่อะไรที่ผิดปกติ

ซึ่งตัวมัลแวร์ดังกล่าวนั้นอย่างที่ได้กล่าวไว้ข้างต้นว่ามุ่งเน้นไปที่การโจมตีกลุ่มผู้ใช้งาน WeChat บน macOS โดยตัวมัลแวร์สามารถเก็บข้อมูลได้มากมายไม่ว่าจะเป็น ทั้งชื่อผู้ใช้งาน, อีเมล, และ เบอร์โทรศัพท์ ที่ถูกบรรจุอยู่บนบัญชีใช้งาน WeChat ที่ถูกบรรจุอยู่ในไฟล์ userinfo.data ของเหยื่อที่เป็นเจ้าของเครื่องที่ติดมัลแวร์ นอกจากนั้นแล้วยังมีความสามารถในการขโมยข้อมูลอื่น ๆ อีกมากมาย เช่น ข้อมูลขององค์กร, ชื่อบัญชี, อีเมล, เบอร์โทรศัพท์ ของผู้ใช้งานแอปพลิเคชัน DingTalk, ข้อมูลที่อยู่ภายใน Google Password Manager, รายชื่อแอปพลิเคชันที่ถูกติดตั้งอยู่บนเครื่อง รวมไปถึงข้อมูลทั่วไปของระบบเครื่องของเหยื่อ เรียกว่าแฮกเกอร์จะได้ข้อมูลสำคัญไปมากมายทีเดียว ทั้งนี้แหล่งข่าวไม่ได้ระบุว่า มัลแวร์ตัวนี้สามารถขโมยข้อมูลการสนทนาแบบแอปพลิเคชันชื่อดังที่กล่าวถึงไปข้างต้นได้หรือไม่

เห็นดังนี้แล้ว องค์กรที่มีความเสี่ยง จำเป็นที่จะต้องมีมาตรการควบคุมการจัดหาและใช้งานแอปพลิเคชันที่เข้มงวด เนื่องจากถึงแท้ macOS นั้นจะขึ้นชื่อเรื่องความแข็งแกร่ง แต่ถ้าผู้ใช้งานประมาท ก็สามารถที่จะนำมาซึ่งความสูญเสียขององค์กรได้จากที่กล่าวมาข้างต้น