มัลแวร์ CrashStealer ตัวใหม่ปลอมแปลงรายงานข้อผิดพลาดของ macOS เพื่อขโมยรหัสผ่านของผู้ใช้
มัลแวร์ Mac ตัวใหม่ที่อันตรายชื่อ CrashStealer กำลังหลีกเลี่ยงระบบรักษาความปลอดภัย Gatekeeper โดยปลอมตัวเป็นรายงานข้อผิดพลาดของ Apple เพื่อขโมยรหัสผ่านและข้อมูลสำคัญของคุณ เรียนรู้วิธีปกป้องอุปกรณ์ของคุณ

นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์ตัวใหม่ที่ซับซ้อนซึ่งมุ่งเป้าไปที่ผู้ใช้ macOS โดยมีชื่อว่า 'CrashStealer' ซอฟต์แวร์ที่เป็นอันตรายนี้อันตรายเป็นพิเศษเพราะมันปลอมตัวเป็นเครื่องมือรายงานข้อผิดพลาดของระบบของ Apple ได้อย่างแนบเนียน ทำให้ผู้ใช้ที่ไม่ระมัดระวังมีโอกาสตกเป็นเหยื่อสูง
วิธีการทำงานของ CrashStealer
จากการวิเคราะห์ของบริษัทรักษาความปลอดภัย Jamf พบว่า CrashStealer ปลอมตัวเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย โดยมักปลอมตัวเป็นแพลตฟอร์มการประชุมที่รู้จักกันในชื่อ 'Werkbit' เมื่อผู้ใช้ถูกหลอกให้ดาวน์โหลดซอฟต์แวร์ มันจะใช้ตัวติดตั้งที่ลงนามและได้รับการรับรองจาก Apple ด้วยการใช้ลายเซ็นที่ดูเหมือนเป็นทางการนี้ มัลแวร์จึงสามารถหลีกเลี่ยง macOS Gatekeeper ซึ่งเป็นกลไกความปลอดภัยที่ออกแบบมาเพื่อป้องกันไม่ให้ซอฟต์แวร์ที่ไม่ได้รับอนุญาตหรือเป็นอันตรายทำงานบนระบบปฏิบัติการได้สำเร็จ
โครงสร้างของการโจมตี
เมื่อเปิดใช้งาน แอปพลิเคชันจะแสดงข้อความแจ้งเตือนระบบปลอมที่ขอรหัสผ่านของผู้ใช้ ซึ่งเป็นสิ่งที่พบเห็นได้ทั่วไปในการติดตั้งซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เมื่อเหยื่อให้ความร่วมมือและป้อนข้อมูลประจำตัว มัลแวร์จะได้รับอนุญาตที่จำเป็นในการเข้าถึง macOS Keychain ตู้เก็บข้อมูลที่เข้ารหัสนี้มีข้อมูลที่ละเอียดอ่อนมาก รวมถึง:
- ข้อมูลประจำตัวการเข้าสู่ระบบ Safari
- รหัสผ่านแอปพลิเคชัน
- รหัสเครือข่าย Wi-Fi
นอกเหนือจาก Keychain แล้ว มัลแวร์ยังสามารถดึงข้อมูลคุกกี้และข้อมูลประจำตัวการเข้าสู่ระบบจากเบราว์เซอร์ต่างๆ เช่น Chrome, Firefox และเบราว์เซอร์อื่นๆ ที่ใช้ Chromium เป็นพื้นฐานได้ นอกจากนี้ยังมุ่งเป้าไปที่ข้อมูลจากส่วนขยายกระเป๋าเงินดิจิทัลประมาณ 80 รายการ และแอปพลิเคชันจัดการรหัสผ่านยอดนิยมหลายตัว เช่น 1Password และ LastPass
การขโมยข้อมูล
เมื่อได้ข้อมูลที่ละเอียดอ่อนแล้ว CrashStealer จะเข้ารหัสข้อมูลที่ถูกขโมย บีบอัดเป็นไฟล์ ZIP ที่ซ่อนอยู่ และอัปโหลดแพ็กเกจไปยังเซิร์ฟเวอร์ควบคุมและสั่งการระยะไกล (C&C) ที่ดำเนินการโดยผู้โจมตี
วิธีปกป้อง Mac ของคุณ
เพื่อป้องกันภัยคุกคามนี้และภัยคุกคามที่คล้ายคลึงกัน ผู้ใช้ควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยเหล่านี้:
- หลีกเลี่ยงการติดตั้งจากแหล่งภายนอก: ติดตั้งซอฟต์แวร์จาก Mac App Store หรือจากเว็บไซต์ของผู้พัฒนาที่น่าเชื่อถือและได้รับการตรวจสอบแล้วเท่านั้น
- ใช้ความระมัดระวังกับข้อความแจ้งเตือน: ควรระมัดระวังเป็นอย่างยิ่งกับข้อความแจ้งเตือนรหัสผ่านระบบที่ไม่คาดคิด โดยเฉพาะอย่างยิ่งที่ปรากฏขึ้นหลังจากติดตั้งแอปพลิเคชันใหม่
- ใช้มาตรการรักษาความปลอดภัยเพิ่มเติม: แม้ว่า Gatekeeper จะเป็นแนวป้องกันด่านแรกที่แข็งแกร่ง แต่ก็ไม่ได้สมบูรณ์แบบเสมอไป การใช้ซอฟต์แวร์ป้องกันไวรัสจากผู้ผลิตที่น่าเชื่อถือสำหรับ macOS สามารถให้การป้องกันชั้นที่สองที่สำคัญได้
- โปรดระมัดระวัง: ตรวจสอบความถูกต้องของซอฟต์แวร์หรือตัวติดตั้งทุกครั้ง โดยเฉพาะอย่างยิ่งหากได้รับมาจากแหล่งที่ไม่เป็นทางการหรือลิงก์ที่ไม่ได้รับเชิญ