แคมเปญการอัปเดตเบราว์เซอร์ปลอม ClearFake ได้ขยายไปยัง macOS โดยกำหนดเป้าหมายคอมพิวเตอร์ Apple ที่มีมัลแวร์ Atomic Stealer (AMOS) แคมเปญ ClearFake เริ่มต้นในเดือนกรกฎาคมปีนี้เพื่อกำหนดเป้าหมายผู้ใช้ Windows ด้วยการแจ้งเตือนการอัปเดต Chrome ปลอมที่ปรากฏบนเว็บไซต์ที่ถูกโจมตีผ่านการฝังรหัส JavaScript
ในเดือนตุลาคม ปี 2023 Guardio Labs ค้นพบการพัฒนาที่สำคัญสำหรับการดำเนินการที่เป็นอันตราย ซึ่งใช้ Binance Smart Chain contracts เพื่อซ่อนสคริปต์ที่เป็นอันตรายซึ่งสนับสนุนช่องโหว่การติดไวรัส
ในบล็อกเชน
ด้วยเทคนิคซึ่งมีชื่อว่า EtherHiding ผู้ไม่ประสงค์ดีจึงกระจาย Payload ซึ่งเป้าหมายไปยังที่ Windows รวมถึงมัลแวร์ที่ขโมยข้อมูลเช่น RedLine, Amadey และ Lumma
เมื่อวันที่ 17 พฤศจิกายน 2023 นักวิเคราะห์ภัยคุกคาม Ankit Anubhav รายงานว่า ClearFake
ได้เริ่มส่ง Payload DMG ไปยังผู้ใช้ macOS ที่เข้าชมเว็บไซต์ที่ถูกโจมตี
รายงานจาก Malwarebytes ในช่วงต้นสัปดาห์ยืนยันการพัฒนานี้ แจ้งว่าการโจมตีเหล่านี้ใช้การล่อลวงการอัปเดต Safari พร้อมกับการใช้ภาพเลียนแบบของ Chrome ที่มีลักษณะเดียวกัน
ในกรณีนี้ Payload คือ Atomic ซึ่งเป็นมัลแวร์ที่ขโมยข้อมูลผ่านช่อง Telegram เพื่อขายให้กับผู้ไม่ประสงค์ดีในราคาเดือนละ 1,000 ดอลลาร์
Atomic ถูกค้นพบในเดือนเมษายน 2023 โดย Trellix และ Cyble, ที่รายงานว่า Atomic พยายามที่จะขโมยรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ คุกกี้และบัตรเครดิต ไฟล์ในเครื่อง สกุลเงินดิจิทัลมากกว่า 50 ตัว
และรหัสผ่านที่เก็บไว้ใน Keychain (ระบบจัดเก็บรหัสผ่านใน macOS) ไว้
รหัสผ่านใน Keychain คือตัวจัดการรหัสผ่านที่มีอยู่ใน macOS ซึ่งเก็บรักษารหัสผ่าน WiFi, การเข้าสู่เว็บไซต์, ข้อมูลบัตรเครดิต, และข้อมูลที่ถูกเข้ารหัสอื่น ๆ ดังนั้นการขโมยข้อมูลนี้อาจส่งผลให้เกิดการละเมิด
ที่สำคัญต่อผู้ใช้
การสำรวจข้อความใน Payload โดย Malwarebytes พบว่ามีชุดคำสั่งสำหรับการดึงข้อมูลที่เป็นไปได้ที่อาจเป็นข้อมูลที่สำคัญ เช่น รหัสผ่าน และการเป้าหมายที่เป็นไฟล์เอกสาร รูปภาพ ไฟล์กระเป๋าเงินดิจิทัล
และ Keys ต่างๆ
แคมเปญ ClearFake สำหรับคอมพิวเตอร์ Mac เตือนผู้ใช้แอปเปิ้ลเพื่อเพิ่มความปลอดภัย และระมัดระวังการดาวน์โหลด และโดยเฉพาะการแจ้งเตือนขอให้อัปเดตเบราว์เซอร์เมื่อเข้าชมเว็บไซต์ ถึงแม้จะผ่านมาหลายเดือนตั้งแต่ค้นพบและรายงานเกี่ยวกับมัลแวร์ Atomic ยังมีประมาณ 50% ของเครื่องมือตรวจสอบไวรัส
บน VirusTotal ที่ยังไม่ตรวจพบ Payload นี้
นอกจากนี้ การอัปเดตเบราว์เซอร์ Safari ทั้งหมดจะถูกกระจายผ่าน macOS’s Software Update หรือสำหรับเบราว์เซอร์อื่นๆ ภายในเบราว์เซอร์ ดังนั้น หากผู้ใช้เห็นข้อความแจ้งให้ดาวน์โหลดอัปเดตเบราว์เซอร์บนเว็บไซต์ ควรละเว้นและไม่ควรดาวน์โหลด
คำแนะนำ
- อย่าดาวน์โหลดหรือติดตั้งอัปเดตเบราว์เซอร์จากลิงก์หรือแหล่งที่ไม่น่าเชื่อถือ ใช้ช่องทางการอัปเดตที่มีการรับรองจากผู้ผลิตของเบราว์เซอร์หรือผ่านระบบอัปเดตของ macOS
- ไม่ควรติดตั้งโปรแกรมหรือแอปจากแหล่งที่ไม่น่าเชื่อถือ และให้ใช้ App Store
หรือแหล่งที่มีความเชื่อถือ
- ระมัดระวังเมื่อใช้เว็บไซต์หรือทำการดาวน์โหลด หากมีความสงสัยใดๆ ไม่ควรดำเนินการ
Ref: https://www.bleepingcomputer.com/news/security/atomic-stealer-malware-strikes-macos-via-fake-browser-updates/