มัลแวร์ Atomic Stealer โจมตี macOS ผ่านการอัพเดตเบราว์เซอร์ปลอม

1 July 2567
มัลแวร์ Atomic Stealer โจมตี macOS ผ่านการอัพเดตเบราว์เซอร์ปลอม

แคมเปญการอัปเดตเบราว์เซอร์ปลอม ‘Clear Fake’ ได้ขยายไปยัง macOS โดยกำหนดเป้าหมายคอมพิวเตอร์ Apple ที่มีมัลแวร์ Atomic Stealer (AMOS) แคมเปญ Clear Fake เริ่มต้นในเดือนกรกฎาคมปีนี้เพื่อกำหนดเป้าหมายผู้ใช้ Windows ด้วยการแจ้งเตือนการอัปเดต Chrome ปลอมที่ปรากฏบนไซต์ที่ถูกละเมิดผ่านการแทรก JavaScript ในเดือนตุลาคม ปี 2023 Guardio Labs ได้ค้นพบการพัฒนาที่สำคัญสำหรับการดำเนินการที่เป็นอันตราย ซึ่งใช้ประโยชน์จาก Binance Smart Chain เพื่อซ่อนสคริปต์ที่เป็นอันตรายซึ่งสนับสนุนการติดไวรัสใน blockchain ด้วยเทคโนโลยีที่เรียกว่า “Ether Hiding” ผู้ให้บริการได้กระจาย Windows Target Payload รวมถึงมัลแวร์ที่ขโมยข้อมูลเช่น Red Line, Amadey และ Lumma

เมื่อวันที่ 17 พฤศจิกายน 2023 Ankit Anubhav นักวิเคราะห์ภัยคุกคามรายงานว่า Clear Fake ได้เริ่มส่ง Payload DMG ไปยังผู้ใช้ macOS ที่เยี่ยมชมเว็บไซต์ที่ถูกบุกรุก รายงาน Malwarebytes เมื่อต้นสัปดาห์นี้รายงานว่าการโจมตีเหล่านี้ใช้ให้เหยื่ออัปเดต Safari ควบคู่กับ Chrome มาตรฐาน ในกรณีเหล่านี้ Payload คือ Atomic ซึ่งเป็นมัลแวร์ที่ขโมยข้อมูลผ่านช่อง Telegram เพื่อขายให้กับอาชญากรไซเบอร์ในราคาเดือนละ 1000 ดอลลาร์ Atomic ถูกค้นพบในเดือนเมษายน 2023 โดย Trellix และ Cyble ซึ่งรายงานว่าพยายามขโมยรหัสผ่าน คุกกี้ และบัตรเครดิตที่จัดเก็บไว้ในเบราว์เซอร์ ไฟล์ในเครื่อง ข้อมูลจากส่วนขยายสกุลเงินดิจิทัลมากกว่า 50 รายการ และ keychain passwords ซึ่งคือตัวจัดการรหัสผ่านในตัวของ macOS ที่เก็บรหัสผ่าน WiFi การเข้าสู่ระบบเว็บไซต์ ข้อมูลบัตรเครดิต และข้อมูลที่เข้ารหัสอื่น ๆ ดังนั้นการรั่วไหลอาจทำให้เหยื่อถูกโจมตี Payload ของ Malware byte จะเผยให้เห็นชุดคำสั่งสำหรับดึงข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านและไฟล์เอกสารเป้าหมาย รูปภาพ ไฟล์กระเป๋าสตางค์ crypto และคีย์ ตอนนี้ Clear Fake สำหรับคอมพิวเตอร์ Mac เตือนผู้ใช้แอปเปิ้ลเพื่อเพิ่มความปลอดภัย และระมัดระวังการดาวน์โหลด และโดยเฉพาะอย่างยิ่งแจ้งให้ปรับปรุงเบราว์เซอร์เมื่อเยี่ยมชมเว็บไซต์

แม้จะผ่านไปหลายเดือนหลังจากการค้นพบและรายงานเกี่ยวกับ Atomic แต่ payload ก็ยังคงไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสประมาณ 50% บน Virus Total นอกจากนี้การอัปเดตเบราว์เซอร์ Safari ทั้งหมดจะถูกกระจายผ่านการอัปเดตซอฟต์แวร์ของ macOS หรือสำหรับเบราว์เซอร์อื่นๆ ภายในเบราว์เซอร์เอง ดังนั้นหากคุณเห็นข้อความแจ้งเตือนใดๆ ให้ดาวน์โหลดการอัปเดตเบราว์เซอร์บนเว็บไซต์ควรหลีกเลี่ยง