ผู้ใช้ Mac กำลังตกเป็นเป้าหมายด้วยเบราว์เซอร์ที่แพร่กระจายมัลแวร์มัลแวร์ พร้อมขโมยรหัสผ่านของคุณ เป้าหมายโจมตีกลุ่มผู้ใช้ MacBook

Malwarebytes เผยข้อมูลของแฮกเกอร์กลุ่มหนึ่งที่ใช้เครื่อง Atomic Stealer (AMOS) สร้างแคมเปญการโจมตีใหม่ โดยกำหนดเป้าหมายไปยังผู้ใช้ Mac โดยเฉพาะ

Atomic Stealer (AMOS) เป็นมัลแวร์ประเภท infostealer (เน้นขโมยข้อมูลส่วนบุคคล) ที่สามารถขโมยข้อมูลส่วนบุคคลของผู้ใช้ Mac ได้ โดยข้อมูลที่ถูกขโมยมักเป็น รหัสผ่านที่เก็บไว้ในเบราว์เซอร์ , คุกกี้เซสชัน, ข้อมูลผู้ใช้ เช่น ชื่อ ที่อยู่อีเมล และหมายเลขโทรศัพท์,ข้อมูลกระเป๋าเงินดิจิทัล และข้อมูลส่วนตัวอื่น ๆ

รูปแบบการโจมตีคือ แฮกเกอร์ได้ซื้อโฆษณาบน Google เพื่อโปรโมตหน้า Landing Page ของตัวเอง หน้าเว็บนี้จะแอบอ้างเป็นแบรนด์เทคโนโลยีรายใหญ่ หากเรากดคลิกโฆษณาแล้วเข้าเว็บไซต์ปลอมนั้นไป ก็อาจมีส่วนที่จะโดนโจมตีได้ ตั้งแต่การโดนหลอกให้โหลดมัลแวร์ การกดยอมรับคุ๊กกี้ และโดนขโมยข้อมูลรหัส รวมไปถึงการถูกหลอกให้กรอกบัญชีอีเมลและบัญชีต่าง ๆ

นอกจากนี้ ยังมีรูปแบบการโจมตีโดยแสดง Pop-up แจ้งเตือนเพื่อให้อัปเดตเบราว์เซอร์ ที่น่ากลัวคือ Pop-up ปลอมเหล่านี้จะทำตัวให้ดูน่าเชื่อถือมาก ๆ หากเราเชื่อและกด Pop-up นั้นไป ก็อาจจะเป็นการดาวน์โหลดมัลแวร์ลงในเครื่อง แต่ปัจจุบัน เบราว์เซอร์ส่วนใหญ่ก็จะมีการบล็อค Pop-up ไว้อยู่แล้ว นอกซะจากเราจะไปกด Allow และปลดล็อคด้วยตัวเอง ฉะนั้นต้องระวังให้ดี

แม้จะมีไม่มาก แต่ก็ต้องยอมรับว่า มัลแวร์บน Mac นั้นมีอยู่จริง แต่ก็มีแนวโน้มที่จะตรวจพบได้น้อยกว่ามัลแวร์บน Windows ส่วนตัวมองว่า ไม่ว่าจะเป็น OS ไหน ตัวผู้ใช้หรือ User เองก็ต้องมีสกิลในการระแวดระวังภัย ไม่กดคลิกลิงก์ใดมั่ว ๆ หรือไม่ตื่นตระหนกเวลาที่แฮกเกอร์ส่งข้อความ Phishing มาหา

แฮกเกอร์ที่อยู่เบื้องหลัง Atomic Stealer (AMOS) ได้ตั้งค่าแคมเปญใหม่เพื่อกำหนดเป้าหมายผู้ใช้ Mac ตามรายงาน ใหม่ จาก Malwarebytes

AMOS เป็นตัวขโมยข้อมูลยอดนิยมที่จนกระทั่งเมื่อไม่นานมานี้ ทำงานบนอุปกรณ์ปลายทางที่ใช้ Windows เท่านั้น และสามารถขโมยรหัสผ่านที่จัดเก็บไว้ในเบราว์เซอร์คุกกี้เซสชัน และอื่นๆ อีกมากมาย 

ตอนนี้ดูเหมือนว่าผู้คุกคามได้มุ่งความสนใจไปที่ผู้ใช้ Mac เช่นเดียวกับแคมเปญที่เป็นอันตรายตัวใหม่ Malwarebytes ได้ขนานนามว่า ClearFake

การใช้เว็บไซต์ที่ถูกบุกรุกในทางที่ผิด

คราวนี้กลไกการกระจายดูเหมือนจะแตกต่างออกไป ในแคมเปญก่อนหน้านี้ นักวิจัยสังเกตเห็นผู้โจมตีกระจาย AMOS ผ่านแคร็กซอฟต์แวร์ปลอม ตัวโหลด และเครื่องสร้างคีย์ หรือโดยการแอบอ้างเป็นผู้ผลิตซอฟต์แวร์ยอดนิยมและบริษัทเทคโนโลยี 

ขณะนี้ Malwarebytes ได้เห็นแฮกเกอร์สร้างโฆษณาที่เป็นอันตรายบนGoogle (ซึ่งได้รับค่าตอบแทนและมีแนวโน้มว่าจะมีบัญชีที่ถูกบุกรุก) ใช้เพื่อโปรโมตหน้า Landing Page ที่แอบอ้างเป็นแบรนด์เทคโนโลยีรายใหญ่ ผู้ที่ตกเป็นเหยื่อที่เข้า ชมเว็บไซต์เหล่านั้นอาจเข้าใจผิดว่าเป็นเว็บไซต์ที่ถูกต้อง และลงเอยด้วยการดาวน์โหลดมัลแวร์

ในแคมเปญนี้ แฮกเกอร์จะโจมตีเว็บไซต์ก่อน (ไม่ว่าจะผ่านการบังคับดุร้าย การใช้ช่องโหว่ในทางที่ผิด หรือการซื้อข้อมูลการเข้าสู่ระบบบนเว็บมืด) จากนั้นสร้างโฆษณาป๊อปอัปที่เลียนแบบการแจ้งเตือนการอัปเดตเบราว์เซอร์ ผู้ใช้ที่เยี่ยมชมเว็บไซต์เหล่านี้จะเชื่อว่าจำเป็นต้องอัปเดตเบราว์เซอร์จึงจะสามารถดูเนื้อหาได้ ที่แย่ไปกว่านั้นคือ โฆษณาปลอมนั้นค่อนข้างน่าเชื่อถือ โดยแอบอ้างเป็นแบรนด์หลัก ๆ เช่นAppleหรือ Google ได้ค่อนข้างดี ผู้ที่ไม่มีสายตาแหลมคมอาจถูกหลอกให้คิดว่าจำเป็นต้องอัปเดตเบราว์เซอร์จริงๆ 

แน่นอน ขึ้นอยู่กับระบบปฏิบัติการและเบราว์เซอร์ที่พวกเขาใช้ เหยื่อจะได้รับโฆษณาที่ปรับเปลี่ยนในแบบของคุณบางส่วน

ทันทีที่เหยื่อเรียกใช้โปรแกรม มันจะขโมยข้อมูลและส่งไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตีทันที Atomic Stealer ใช้สำหรับรหัสผ่าน การกรอกอัตโนมัติ ข้อมูลผู้ใช้ กระเป๋าเงิน คุกกี้ของเบราว์เซอร์ และข้อมูลพวงกุญแจ 

“แม้ว่ามัลแวร์ Mac มีอยู่จริง แต่ก็มีแนวโน้มที่จะตรวจพบได้น้อยกว่ามัลแวร์ Windows” นักวิจัยกล่าวในรายงานทางเทคนิคเมื่อเดือนกันยายนปีนี้ “ผู้พัฒนาหรือผู้ขาย AMOS ทำให้เป็นจุดขายที่ชุดเครื่องมือของพวกเขาสามารถหลบเลี่ยงการตรวจจับได้”

ข้อมูลจาก

https://www.techhub.in.th/mac-users-are-being-targeted-with-fake-browser-updates-that-spread-malware/

https://www.techradar.com/pro/security/mac-users-are-being-targeted-with-fake-browser-updates-that-spread-malware