PamStealer: มัลแวร์ macOS ตัวใหม่ที่แฝงตัวมาในรูปแบบโปรแกรมจัดการคลิปบอร์ด มุ่งเป้าไปที่ข้อมูลประจำตัวของผู้ใช้
เรียนรู้เกี่ยวกับ PamStealer มัลแวร์ macOS ตัวใหม่ที่ปลอมตัวเป็นโปรแกรมจัดการคลิปบอร์ด Maccy เพื่อขโมยรหัสผ่านและคีย์เข้ารหัสลับ ค้นพบวิธีการทำงานและวิธีการป้องกันตนเอง

การเพิ่มขึ้นของมัลแวร์ขโมยข้อมูล macOS ที่ซับซ้อน
เป็นเวลาหลายปีที่ผู้ใช้ Mac รู้สึกถึงความปลอดภัยที่ค่อนข้างสูงกว่าผู้ใช้ Windows อย่างไรก็ตาม ช่องว่างนั้นกำลังแคบลงอย่างรวดเร็วเนื่องจากอาชญากรไซเบอร์พัฒนาเครื่องมือที่เจาะจงและซับซ้อนมากขึ้น ภัยคุกคามล่าสุดที่ระบุโดยนักวิจัยด้านความปลอดภัยที่ Jamf คือมัลแวร์ที่ชื่อว่า PamStealer มัลแวร์ขโมยข้อมูลนี้ใช้การผสมผสานอย่างชาญฉลาดระหว่างวิศวกรรมสังคมและเครื่องมือระบบ macOS ดั้งเดิมเพื่อหลีกเลี่ยงคำเตือนด้านความปลอดภัยและเก็บเกี่ยวข้อมูลการเข้าสู่ระบบที่ละเอียดอ่อน
PamStealer หลอกลวงผู้ใช้อย่างไร
PamStealer ไม่ได้มาในรูปแบบไวรัสที่โจ่งแจ้ง แต่มาในรูปแบบปลอมของแอปพลิเคชันเพิ่มประสิทธิภาพการทำงานยอดนิยมที่ถูกต้องตามกฎหมายชื่อ Maccy ซึ่งเป็นโปรแกรมจัดการคลิปบอร์ดขนาดเล็ก มัลแวร์จะปลอมตัวเป็นโปรแกรมยูทิลิตี้ที่น่าเชื่อถือ ล่อลวงผู้ใช้ให้ดาวน์โหลดและติดตั้งจากโดเมนปลอม
กระบวนการติดเชื้อสองขั้นตอน
มัลแวร์ใช้ห่วงโซ่การทำงานหลายขั้นตอนที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับของซอฟต์แวร์ป้องกันไวรัสแบบดั้งเดิม:
- ขั้นตอนที่หนึ่ง: การป้อน AppleScript: มัลแวร์มาถึงผ่านอิมเมจดิสก์ เมื่อเปิด ผู้ใช้จะได้รับแจ้งให้เรียกใช้ AppleScript ด้วยวิธีนี้ PamStealer สามารถหลีกเลี่ยง
com.apple.quarantineซึ่งเป็นคุณสมบัติความปลอดภัยของ macOS ที่มักจะแจ้งเตือนและจำกัดไฟล์ปฏิบัติการที่ดาวน์โหลดจากอินเทอร์เน็ตได้สำเร็จ - ขั้นตอนที่สอง: เพย์โหลดที่ใช้ Rust: เมื่อสคริปต์ทำงานแล้ว มันจะใช้ตัวดาวน์โหลด JavaScript for Automation (JXA) เพื่อดึงเพย์โหลดขั้นตอนที่สอง เพย์โหลดนี้เป็นไฟล์ Mach-O ที่เขียนด้วย Rust ซึ่งได้รับการปรับแต่งเป็นพิเศษสำหรับ CPU Apple M-series การใช้ Rust นั้นโดดเด่นเป็นพิเศษ เนื่องจากไม่ค่อยพบในมัลแวร์ขโมยข้อมูล macOS ทั่วไป ทำให้เครื่องมือรักษาความปลอดภัยบางอย่างตรวจจับมัลแวร์นี้ได้ยาก
การขโมยข้อมูลประจำตัวผ่าน PAM
สิ่งที่ทำให้ PamStealer แตกต่างจากมัลแวร์ทั่วไปคือการใช้ส่วนต่อประสาน Pluggable Authentication Modules (PAM) แทนที่จะใช้คำสั่งเชลล์ที่ชัดเจน เช่น curl หรือ zsh ซึ่งมักจะทำให้เกิดการแจ้งเตือนด้านความปลอดภัย PamStealer จะแสดงข้อความแจ้งให้ป้อนรหัสผ่าน macOS ที่ดูเหมือนของเดิม
โดยทั่วไปข้อความแจ้งจะอ่านว่า: “Maccy ต้องการทำการเปลี่ยนแปลง ป้อนรหัสผ่านของคุณเพื่ออนุญาต” เมื่อผู้ใช้ที่ไม่ระวังตัวป้อนรหัสผ่านผู้ดูแลระบบ มัลแวร์จะตรวจสอบข้อมูลประจำตัวในเครื่องผ่าน API ของ PAM สิ่งนี้ทำให้ผู้โจมตีสามารถเข้าถึงดิสก์ได้อย่างเต็มที่หรือแทรกโค้ดที่เป็นอันตรายเพื่อกำหนดเป้าหมายสินทรัพย์เฉพาะ เช่น บัญชีสกุลเงินดิจิทัล Ethereum
วิธีปกป้อง Mac ของคุณจาก PamStealer
แม้ว่า macOS จะมีระบบป้องกันในตัว เช่น XProtect แต่ปัจจัยด้านมนุษย์ยังคงเป็นจุดอ่อนหลัก ต่อไปนี้คือแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยอุปกรณ์ของคุณ:
1. ตรวจสอบแหล่งที่มาของซอฟต์แวร์
ตรวจสอบให้แน่ใจเสมอว่าคุณกำลังดาวน์โหลดซอฟต์แวร์จากเว็บไซต์อย่างเป็นทางการ ในกรณีของ Maccy เว็บไซต์ที่ถูกต้องเพียงแห่งเดียวคือ maccy.app ระวัง URL ที่ดูคล้ายกัน เช่น maccyapp.com ซึ่งถูกใช้เพื่อโฮสต์มัลแวร์
2. ให้ความสำคัญกับ App Store
เมื่อใดก็ตามที่เป็นไปได้ ให้ดาวน์โหลดแอปพลิเคชันโดยตรงจาก Apple App Store
เนื่องจาก Apple ตรวจสอบแอปก่อนที่จะแสดงในรายการ ความเสี่ยงในการติดตั้งโปรแกรมขโมยข้อมูลจึงลดลงอย่างมากเมื่อเทียบกับการดาวน์โหลดไฟล์ .dmg แบบสุ่มจากเว็บ3. ระวังการขอรหัสผ่านที่ไม่คาดคิด
หากแอปพลิเคชันที่คุณเพิ่งติดตั้งขอรหัสผ่านผู้ดูแลระบบเพื่อ "ทำการเปลี่ยนแปลง" โดยไม่มีเหตุผลที่ชัดเจน ให้หยุดและตรวจสอบ ซอฟต์แวร์คุณภาพสูงมักจะอธิบายอย่างชัดเจนว่าทำไมจึงต้องใช้สิทธิ์ระดับสูง
4. ใช้ระบบรักษาความปลอดภัยแบบหลายชั้น
แม้ว่า XProtect จะเป็นพื้นฐานที่ดี แต่การพิจารณาใช้โซลูชันป้องกันไวรัสจากบริษัทอื่นที่มีชื่อเสียงสามารถเพิ่มชั้นการวิเคราะห์เชิงฮิวริสติกเพื่อตรวจจับภัยคุกคาม "zero-day" เช่น PamStealer ก่อนที่จะทำงานได้