ระวังภัย มัลแวร์ Crossrider บน macOS แอบสอดแนม ขโมยข้อมูล แก้ไขการตั้งค่าระบบ 

3 มี.ค.63 (10:04 น.)
เปิดอ่าน 73 ครั้ง

เมื่อต้นเดือนกุมภาพันธ์ 2563 ทาง Malwarebytes Labs ได้เผยแพร่เอกสาร 2020 State of Malware Report ซึ่งเป็นสรุปภาพรวมภัยคุกคามจากมัลแวร์ในช่วงปี 2562 (ดูรายงานฉบับเต็มได้จาก https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf) รายงานฉบับดังกล่าวระบุว่าพบมัลแวร์โจมตีระบบปฏิบัติการ macOS เพิ่มมากขึ้น ส่วนใหญ่เป็นประเภท adware ซึ่งจุดประสงค์หลักคือการแสดงโฆษณารบกวนการทำงาน แต่ไม่ได้สร้างความเสียหายหนักเหมือนไวรัสหรือมัลแวร์เรียกค่าไถ่ อย่างไรก็ตาม ทาง Malwarebytes ก็พบว่ามัลแวร์ประเภทนี้สามารถสร้างความเสียหายและก่อให้เกิดอันตรายต่อระบบได้ไม่น้อยไปกว่ากัน (หรืออาจจะมากกว่าด้วยซ้ำ)

credit : malwarebytes.com

ทาง Malwarebytes ได้ยกตัวอย่างมัลแวร์ชื่อ Crossrider (รู้จักในชื่อ Bundlore หรือ SurfBuyer) ว่าเป็น adware ที่มีความอันตรายและสร้างความเสียหายให้กับระบบได้ ตัวมัลแวร์แพร่กระจายในลักษณะไฟล์ติดตั้งโปรแกรม (installer) หากเรียกใช้งานไฟล์ดังกล่าวจะมีการดาวน์โหลดโปรแกรมจากอินเทอร์เน็ตมาติดตั้ง โดยระหว่างติดตั้งจะปรากฎหน้าจอสอบถามรหัสผ่านของบัญชีที่ใช้งานอยู่ในขณะนั้น หน้าจอนี้ทำขึ้นมาเลียนแบบหน้าจอสอบถามสิทธิ์ของผู้ดูแลระบบ จุดประสงค์เพื่อเก็บรหัสผ่านไว้ใช้งานต่อในภายหลัง

ในกระบวนการติดตั้ง ตัวมัลแวร์จะติดตั้งส่วนขยาย (extension) ของเบราว์เซอร์ Safari และ Chrome โดยอาศัยรหัสผ่านที่หลอกถามไปก่อนหน้า จุดประสงค์เพื่อแสดงโฆษณา สอดแนมการใช้อินเทอร์เน็ต รวมถึงสามารถเข้าถึงข้อมูลที่ผู้ใช้กรอกในฟอร์มบนหน้าเว็บ เช่น รหัสผ่าน หรือรหัสบัตรเครดิต จากนั้นตัวมัลแวร์จะติดตั้งโพรไฟล์ลงในเครื่องโดยอาศัยไฟล์ .mobileconfig จุดประสงค์เพื่อแก้ไขการตั้งค่าระบบ เช่น เปลี่ยน search engine ของเบราว์เซอร์ เปลี่ยนโฮมเพจ รวมถึงแก้ไขไฟล์ sudoers เพื่อให้ตัวมัลแวร์สามารถทำงานด้วยสิทธิ์ของ root (พฤติกรรมนี้ส่งผลให้มัลแวร์อื่นๆ ที่ถูกติดตั้งหลังจากนี้สามารถทำงานด้วยสิทธิ์ของ root ได้ด้วย)

ต่อมาตัวมัลแวร์จะแก้ไขข้อมูลในไฟล์ TCC.db ซึ่งเป็นไฟล์ฐานข้อมูลที่เกี่ยวข้องกับการตั้งค่า permission ให้กับแอปพลิเคชันในระบบ (เช่น อนุญาตให้เข้าถึงปฏิทิน ไมโครโฟน หรือเว็บแคม) ผลการแก้ไขไฟล์ดังกล่าวจะทำให้ตัวมัลแวร์สามารถสอดแนมการใช้งาน ขโมยข้อมูลสำคัญ รวมถึงสามารถเปลี่ยนแปลงการทำงานของโปรแกรมอื่นในเครื่องได้ด้วย

จากตัวอย่างที่ยกมานี้จะเห็นได้ว่าถึงแม้มัลแวร์ประเภท adware จะไม่ได้มีจุดประสงค์หลักเพื่อสร้างความเสียหายหรือทำลายข้อมูล แต่วิธีการที่มัลแวร์ใช้ติดตั้งตัวเอง รวมถึงแก้ไขการตั้งค่าเพื่อให้ได้สิทธิ์คงอยู่ในระบบต่อนั้นก็เป็นการสร้างจุดอ่อนและเพิ่มความเสี่ยงให้กับระบบได้ ผู้ใช้งานระบบปฏิบัติการ macOS จำเป็นต้องตระหนักและเข้าใจถึงความเสี่ยงของการใช้งานโดยเฉพาะการติดตั้งแอปพลิเคชันจากแหล่งที่มาที่ไม่น่าเชื่อถือ รายละเอียดเพิ่มเติมเกี่ยวกับมัลแวร์ Crossrider สามารถศึกษาได้จากที่มา

ที่มา https://www.thaicert.or.th/newsbite/2020-02-28-01.html
Logo ThaiCERT

CYBER OPERATIONS CONTEST 2020

ล่าสุด

พบช่องโหว่บน Zoom สามารถขโมย Windows Credentials ได้
3 เม.ย.63(ชั่วโมงที่แล้ว) อ่าน 6 ครั้ง
ปฏิบัติการทลายเครือข่าย Necurs botnet มัลแวร์อันตรายที่แพร่กระจายกว่า 9 ล้านเครื่องทั่วโลก
28 มี.ค.63(5 วัน) อ่าน 9 ครั้ง
Microsoft เตือนพบการโจมตีช่องโหว่ Zero-day คาดกระทบ Windows ทุกเวอร์ชัน
25 มี.ค.63(9 วัน) อ่าน 14 ครั้ง
คู่มือ work from home
24 มี.ค.63(9 วัน) อ่าน 1054 ครั้ง
พลอากาศเอก มานัต วงษ์วาทย์ ผู้บัญชาการทหารอากาศ เป็นประธานในพิธีเปิดศูนย์ไซเบอร์กองทัพอากาศ
21 มี.ค.63(12 วัน) อ่าน 130 ครั้ง
ข้อแนะนำด้านความมั่นคงปลอดภัยเมื่อต้องทำงานจากที่บ้าน
20 มี.ค.63(14 วัน) อ่าน 69 ครั้ง
พบช่องโหว่บน WordPress Plugin คาดกระทบผู้ใช้กว่าแสนเว็บไซต์ แนะเร่งอัปเดต
17 มี.ค.63(16 วัน) อ่าน 15 ครั้ง
พลอากาศตรี วิสุทธิ์ สมภักดี ให้การต้อนรับ นายอาลอน เยโฮชัว (Mr. Alon Yehoshua) ผู้ช่วยทูตฝ่ายทหาร ผู้แทนกระทรวงกลาโหมอิสราเอล เพื่อหารือเรื่องความร่วมมือด้านไซเบอร์
13 มี.ค.63(20 วัน) อ่าน 45 ครั้ง
กองบิน ๒ และ ศูนย์ไซเบอร์กองทัพอากาศ(ศซบ.ทอ.) จัดเปิดการอบรม และบรรยายเรื่องการสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามและจิตสำนึกด้านการรักษาความปลอดภัยด้านไซเบอร์
13 มี.ค.63(20 วัน) อ่าน 50 ครั้ง
หลุดช่องโหว่ร้ายแรงใหม่บน SMBv3 ยังไร้วี่แววแพตช์
11 มี.ค.63(22 วัน) อ่าน 15 ครั้ง
Microsoft เผย บัญชีที่ถูกแฮก 99.9% ไม่ได้เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย มีองค์กรแค่ 11% เท่านั้นที่เปิดใช้
9 มี.ค.63(24 วัน) อ่าน 13 ครั้ง
แจ้งเตือน พบการส่งอีเมลแพร่มัลแวร์โจมตีคนไทย อ้างชื่อกระทรวงสาธารณสุขและข่าวไวรัสโคโรน่า
6 มี.ค.63(27 วัน) อ่าน 138 ครั้ง
T-mobile แจ้งเหตุข้อมูลรั่วไหลเพราะถูกแฮ็ก
6 มี.ค.63(27 วัน) อ่าน 13 ครั้ง
อัปเดตเป็น TLS 1.2 หรือ 1.3 ก่อนถูก Browser หลายเจ้าจะแสดงหน้า Error ในสิ้นเดือนนี้
6 มี.ค.63(27 วัน) อ่าน 10 ครั้ง
ข้อแนะนำจาก Microsoft เรื่องการจัดอบรมสร้างความตระหนักด้านความมั่นคงปลอดภัยให้กับพนักงานในองค์กร
5 มี.ค.63(29 วัน) อ่าน 21 ครั้ง