มัลแวร์ PasivRobber สามารถขโมยข้อมูลจาก macOS ได้

ความแข็งแกร่งของ macOS นั้นเคยเป็นที่ยอมรับในหมู่ผู้ใช้งานมากมายหลายกลุ่ม แต่ในระยะหลังแฮกเกอร์ได้ค้นพบวิธีการเข้าโจมตี และยังมีการสร้างมัลแวร์ใหม่ ๆ ขึ้นมาเพื่อใช้ในการนี้มากมาย ดังนั้น ผู้ใช้งานจำเป็นที่จะต้องมีความตื่นตัว ระมัดระวังตัวอยู่เสมอด้วยเช่นกัน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการค้นพบมัลแวร์ประเภทเพื่อการสอดส่อง (Spyware) ที่มุ่งเน้นการโจมตีกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS ที่มีชื่อว่า “PasivRobber” โดยทีมวิจัยจาก Kandji บริษัทผู้พัฒนาซอฟต์แวร์สำหรับการจัดการอุปกรณ์ของ Apple โดยการตรวจพบดังกล่าวนั้นมาจากการที่ทีมวิจัยพบไฟล์น่าสงสัยในรูปแบบไฟล์ประเภท mach-O ที่มีชื่อว่า “wsus” ผ่านทางเครื่องมือ VirusTotal ซึ่งเป็นเครื่องมือสำหรับการตรวจจับมัลแวร์ และไวรัสคอมพิวเตอร์ชื่อดัง ในช่วงเดือนมีนาคมที่ผ่านมา นำไปสู่การค้นพบไฟล์ติดตั้ง (Binaries) จำนวนมากถึง 20 ไฟล์ ที่พัวพันกับมัลแวร์ดังกล่าว หลังจากการตรวจสอบของทีมวิจัย ทางทีมวิจัยได้พบว่า มัลแวร์ดังกล่าวได้มุ่งเน้นโจมตีกลุ่มผู้ใช้งานชาวจีนที่ใช้งานแอปพลิเคชัน WeChat และ QQ รวมไปถึงเว็บเบราว์เซอร์ และแอปพลิเคชัน สำหรับการรับส่งอีเมลต่าง ๆ

โดยในรายละเอียดเชิงเทคนิคนั้น ทางทีมวิจัยได้พบว่ามัลแวร์ดังกล่าวนั้นได้มีการใช้วิธีการตีรวนให้ระบบสับสน (Obfuscation) โดยการทำไฟล์แบบชื่อคล้าย อย่างตัวไฟล์ติดตั้งแอปหลักนั้นจะถูกตั้งชื่อว่า “goed” ซึ่งคล้ายคลึงกับแอปตัวจริงที่มีชื่อว่า “geod” นอกจากนั้น ยังมีการหลอกลวงระบบผ่านทางการฝังไฟล์ที่มีชื่อคล้ายแต่นามสกุลไฟล์ไม่ถูกต้องในส่วนของปลั๊กอิน เช่น การใช้นามสกุล .gz แทน .dylib เป็นต้น ทั้งยังมีการแทรกโค้ดพิเศษผ่านระบบตั้งค่าของ LaunchDaemon เพื่อให้มั่นใจว่าตัวมัลแวร์จะทำงานอยู่ในระบบได้ตลอดเวลา (Persistence) อีกด้วย 

ซึ่งองค์ประกอบหลักของมัลแวร์นั้นจะถูกแบ่งเป็นหลายส่วนดังนี้

• Goed: เป็นไฟล์หลักสำหรับการรันผ่าน LaunchDaemon เพื่อที่จะนำไปสู่การรันไฟล์มัลแวร์ “wsus” ต่อไป
• Wsus: เป็นเครื่องมือที่ช่วยให้แฮกเกอร์ทำงานร่วมกับมัลแวร์จากระยะไกลผ่านทางระบบ FTP พร้อมทั้งมีระบบสำหรับการใช้ถอนการติดตั้งมัลแวร์ผ่านทาง RPC Messages
• Center: เป็นเครื่องมือสำหรับใช้ในการทำงานต่าง ๆ บนตัวเครื่อง (On-Device) เช่น การเก็บข้อมูลของระบบ เป็นต้น

นอกจากนั้น ตัวมัลแวร์ยังได้ทำการฝังไฟล์ปลั๊กอินพิเศษในสกุล dylibs เช่น ibWXRobber.dylib, libNTQQRobber.dylib, และ libQQRobber.dylib เพื่อใช้ในการขโมยรหัสผ่านต่าง ๆ รวมทั้งข้อมูลการสื่อสารผ่านทางแอปพลิเคชันข้อความบนเครื่องเหยื่อ ไม่เพียงเท่านั้น ตัวมัลแวร์ยังได้มีการใช้ไฟล์แอปอย่าง “apse” ที่จะทำหน้าที่ในการยิง (Injection) Library ลงไปยังแอปรับส่งข้อความที่ตกเป็นเป้าหมาย เพื่อให้เข้าถึงข้อมูลการสื่อสารของเหยื่ออีกด้วย

ไม่เพียงเท่านั้น ทางทีมวิจัยยังพบว่ามัลแวร์ตัวนี้ยังมาพร้อมกับปลั๊กอิน ที่มีรูปแบบการตั้งชื่อคือ “zero_*” มากถึง 28 ตัว ที่จะมาช่วยให้แฮกเกอร์สามารถเข้าถึง และขโมยข้อมูล จากหลากหลายแหล่งได้ ไม่ว่าจะเป็น

• ข้อมูลการใช้งานเว็บเบราว์เซอร์ และรหัสผ่านต่าง ๆ ที่ถูกบันทึกไว้
• ข้อความบนอีเมล และรายชื่อผู้ติดต่อ
• ข้อความแชทบนแอปพลิเคชัน WeChat และ QQ
• ข้อมูลรหัสผ่านสำหรับใช้งานบริการคลาวด์
• ข้อมูลของระบบ รวมทั้งภาพบันทึกหน้าจอต่าง ๆ

สำหรับผู้ที่อยู่เบื้องหลังมัลแวร์ตัวนี้ ทางทีมวิจัยได้ระบุว่า พบความเชื่อมโยงกับบริษัท “Xiamen Meiya Yian Information Technology Co” ซึ่งเป็นบริษัทที่เกี่ยวข้องกับองค์กรที่มีชื่อว่า Meiya Pico ที่ทางการของประเทศสหรัฐอเมริกาได้ระบุว่า เป็นองค์กรที่พัฒนาเทคโนโลยีสำหรับการแอบดักฟังของทางการรัฐบาลจีน

ทางผู้เชี่ยวชาญไม่ได้ระบุว่า การป้องกันมัลแวร์ดังกล่าวแบบที่มีความแน่นอนนั้นจะสามารถทำได้อย่างไร แต่ได้แนะนำว่าให้ผู้ใช้งานทำการอัปเดต macOS ขึ้นเป็นรุ่นล่าสุด รวมทั้งพยายามสังเกตดูว่าการทำงานของระบบนั้นมี Process ไหนที่ผิดสังเกต ? หรือมีการติดต่อผ่านเครือข่ายจากภายนอกที่ผิดปกติหรือไม่ ? เพื่อที่จะได้ปรึกษาผู้เชี่ยวชาญในการรับมืออย่างถูกต้องต่อไป