มัลแวร์ Mac ตัวใหม่ 'MacSync' ขโมยกระเป๋าเงินคริปโต

บริษัทความปลอดภัยบล็อกเชน SlowMist ได้ เตือนเกี่ยวกับมัลแวร์ขโมยข้อมูล macOS ตัวใหม่ที่มีความอันตรายสูงซึ่งมีชื่อว่า "MacSync Stealer" (v1.1.2) 

แคมเปญมัลแวร์ที่ยังคงดำเนินอยู่นี้มุ่งเป้าหมายไปที่ผู้ใช้ Apple โดยเฉพาะ เพื่อดูดกระเป๋าสกุลเงินดิจิทัลและขโมยข้อมูลรับรองโครงสร้างพื้นฐานที่มีความอ่อนไหวสูง

วิธีการดำเนินการ 

ผู้ไม่หวังดีใช้กลยุทธ์วิศวกรรมสังคมแบบหลอกลวงเพื่อเลี่ยงผ่านการป้องกันของผู้ใช้ 

มัลแวร์ใช้กล่องโต้ตอบระบบ AppleScript ปลอมที่เลียนแบบหน้าต่างขอรหัสผ่าน macOS จริงเพื่อฟิชชิงข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้

มัลแวร์จะขโมยข้อมูลอย่างเงียบๆ ในเบื้องหลังทันทีที่เหยื่อตกกับดัก MacSync Stealer จะแสดงข้อความแสดงข้อผิดพลาด "ไม่รองรับ" ปลอมทันทีหลังจากการดึงข้อมูลเสร็จสมบูรณ์ เพื่อไม่ให้เกิดความสงสัย กลอุบายนี้ทำให้ดูเหมือนว่าแอปพลิเคชันเพียงแค่ล้มเหลวในการเปิดใช้งาน

นอกจากผู้ใช้สกุลเงินดิจิทัล มัลแวร์ยังมุ่งเป้าไปที่ข้อมูลรับรองของเบราว์เซอร์, Keychains ของระบบ macOS, คีย์โครงสร้างพื้นฐานที่สำคัญ รวมถึงข้อมูลรับรอง SSH, AWS และ Kubernetes (K8s)

เหตุการณ์อื่นที่เกี่ยวข้องกับ MacOS 

นี่ไม่ใช่เหตุการณ์ที่เกิดขึ้นโดดเดี่ยว ทีมความปลอดภัยของ Bybit เพิ่งค้น พบแคมเปญมัลแวร์ที่มุ่งเป้าไปที่ผู้ใช้ macOS ที่กำลังค้นหา Claude Code

เมื่อเร็วๆ นี้ Microsoft Threat Intelligence ได้เปิดเผยแคมเปญ macOS ที่มีการกำหนดเป้าหมายสูง ซึ่งถูกจัดการโดย "Sapphire Sleet" ซึ่งเป็นผู้คุกคามที่รัฐบาลเกาหลีเหนือสนับสนุนที่เป็นที่รู้จัก Sapphire Sleet ใช้วิศวกรรมสังคมขั้นสูงเพื่อปลอมตัวเป็นการอัปเดตซอฟต์แวร์ macOS ที่ถูกต้องและขโมยกระเป๋าสกุลเงินดิจิทัล 

นอกจากนี้ยังควรกล่าวถึงมัลแวร์ "Infinity Stealer" ซึ่งแสดงให้เห็นว่าวิธีการโจมตีที่เน้น Windows กำลังถูกปรับใช้สำหรับ macOS โดยใช้เทคนิค "ClickFix" เพื่อนำเสนอหน้า CAPTCHA ปลอมแก่เหยื่อ บริษัทความปลอดภัยไซเบอร์ SOC Prime ยังได้ระบุ "MioLab" ซึ่งเป็นมัลแวร์ขโมยข้อมูล macOS ที่จำหน่ายในเชิงพาณิชย์ซึ่งสร้างขึ้นเพื่อมุ่งเป้าไปที่เหยื่อที่มีมูลค่าสูงโดยเฉพาะ รวมถึงผู้ถือสินทรัพย์คริปโต