นักวิจัยของ Kaspersky ระบุว่ามัลแวร์ตัวใหม่มุ่งเป้าไปที่ผู้ใช้ Apple ในสหรัฐอเมริกาและเยอรมนี กำลังแพร่ระบาดไปยังแอปพลิเคชัน cryptowallet Bitcoin และ Exodus ด้วยโทรจันที่เผยแพร่ผ่านซอฟต์แวร์ละเมิดลิขสิทธิ์
มัลแวร์ถูกส่งผ่านแอพพลิเคชั่นที่แคร็กและสามารถแทนที่แอพพลิเคชั่น Exodus และ Bitcoin cryptowallet ที่ติดตั้งบนเครื่องของผู้ใช้ด้วยเวอร์ชันที่ติดไวรัสซึ่งจะขโมยวลีกู้คืนความลับหลังจากปลดล็อคกระเป๋าเงินแล้ว
รายงานที่ออกในสัปดาห์นี้ เด่น ผู้โจมตีใช้บันทึก DNS TXT เพื่อส่งสคริปต์ Python ที่เข้ารหัสไปยังเหยื่อเป็นขั้นที่สองของการติดไวรัส
“กระบวนการเปลี่ยนแอปพลิเคชัน Wallet นั้นตรงไปตรงมา เนื่องจากในขั้นตอนนี้ มัลแวร์มีสิทธิ์เข้าถึงรูทคอมพิวเตอร์อยู่แล้ว ซึ่งได้รับอนุญาตในช่วงแรกของการติดเชื้อ” Sergey Puzan ผู้เชี่ยวชาญด้านความปลอดภัยของ Kaspersky อธิบาย
มัลแวร์เพียงแค่ลบแอปพลิเคชันเก่าออกจากไดเร็กทอรี “/Applications/” และแทนที่ด้วยแอปพลิเคชันตัวใหม่ที่เป็นอันตราย หลังจากการติดตั้งและกระบวนการแพตช์ แอปพลิเคชันจะเริ่มทำงาน และผู้ใช้จะไม่ทราบถึงมัลแวร์ที่ทำงานอยู่เบื้องหลัง
เมื่อผู้ใช้เปิดแอปพลิเคชันกระเป๋าเงินที่ถูกบุกรุก มัลแวร์จะส่งข้อมูล รวมถึงวลีเริ่มต้นหรือรหัสผ่านกระเป๋าเงิน ไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ที่ควบคุมโดยผู้โจมตี
ซึ่งอาจส่งผลให้ผู้โจมตีสามารถควบคุมกระเป๋าเงินดิจิทัลของเหยื่อได้อย่างสมบูรณ์
“เราไม่รู้ว่าเหตุใดมัลแวร์จึงมุ่งเป้าไปที่ macOS เวอร์ชัน 'ใหม่' โดยเฉพาะ แต่ดูเหมือนว่าแคมเปญนี้ยังอยู่ในกระบวนการพัฒนา” Puzan กล่าว “เราจัดการเพื่อรับการอัปเดตฟังก์ชันสำหรับแบ็คดอร์ขั้นตอนสุดท้าย แต่ไม่ได้รับคำสั่งจากเซิร์ฟเวอร์”
เขาเสริมว่าไม่มีเหตุผลใดที่ผู้โจมตีมุ่งเน้นไปที่ macOS 13.6 (Ventura) และสูงกว่า
“เหตุผลเดียวที่ผู้ประสงค์ร้ายใช้แอปพลิเคชั่นเวอร์ชันแคร็กคือการลดระดับการป้องกันของผู้ใช้และแจ้งให้พวกเขาป้อนรหัสผ่านผู้ดูแลระบบ ดังนั้นจึงให้สิทธิ์การเข้าถึงรูทแก่กระบวนการที่เป็นอันตราย” Puzan อธิบาย
เขากล่าวว่าการป้องกันแบบฟอร์มจากภัยคุกคามดังกล่าวคือการหลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันที่ถอดรหัสหรือแก้ไขใดๆ แม้จะมาจากแหล่งที่เป็นที่รู้จักและเชื่อถือได้ก็ตาม
“แม้ว่าวิธีนี้จะไม่ใช่วิธีที่ป้องกันความผิดพลาดได้ แต่ก็ช่วยลดโอกาสในการประนีประนอมได้อย่างมาก” Puzan กล่าว
John Bambenek ประธานของ Bambenek Consulting กล่าวว่าในขณะที่การใช้แอปพลิเคชันละเมิดลิขสิทธิ์เป็นเครื่องมือในการตรวจจับมัลแวร์ไม่ใช่เทคนิคใหม่โดยเฉพาะ แต่การเลือกแอปพลิเคชัน macOSX ที่มีฟังก์ชันในการขโมยกระเป๋าเงินดิจิตอลนั้นมีเอกลักษณ์เฉพาะตัว
“เนื่องจากการรักษาความปลอดภัยเพื่อป้องกันการขโมยสกุลเงินดิจิทัลนั้นขึ้นอยู่กับความเป็นส่วนตัวของคีย์กระเป๋าสตางค์ส่วนตัวและข้อความรหัสผ่าน การขโมยทั้งสองอย่างหมายความว่าผู้โจมตีสามารถสร้างรายได้จากเหยื่อได้ทันที” เขาอธิบาย
การพัฒนาภัยคุกคามต่อกระเป๋าเงิน Cryptocurrency
ในปี 2023 มีแคมเปญที่เป็นอันตรายจำนวนมากมุ่งเป้าไปที่เจ้าของกระเป๋าเงินดิจิทัล แต่ผลการวิจัยของ Kaspersky ระบุว่าขณะนี้ผู้โจมตีบางรายใช้ความพยายามมากขึ้นเพื่อให้แน่ใจว่าพวกเขาจะเข้าถึงเนื้อหาในกระเป๋าเงินเข้ารหัสลับของเหยื่อในขณะที่ไม่ถูกตรวจพบให้นานที่สุด
“ในขณะที่การคาดการณ์ภัยคุกคามที่เราจะเผชิญในปี 2024 เป็นเรื่องที่ท้าทาย แต่ความนิยมที่เพิ่มขึ้นของสกุลเงินดิจิทัลกำลังดึงดูดกิจกรรมทางอาญาที่เพิ่มมากขึ้น” Puzan กล่าว
Adam Neel วิศวกรการตรวจจับภัยคุกคามที่ Critical Start ตั้งข้อสังเกตว่าผู้ประสงค์ร้ายกำลังปรับเทคนิคของตนเพื่อใช้ประโยชน์จากพฤติกรรมและความชอบของผู้ใช้สกุลเงินดิจิทัล
“พวกเขาใช้กลยุทธ์วิศวกรรมสังคม เช่น การนำเสนอซอฟต์แวร์ละเมิดลิขสิทธิ์ เพื่อหลอกล่อเหยื่อให้ดาวน์โหลดมัลแวร์” เขากล่าว “ความสามารถของมัลแวร์ในการแทนที่แอปพลิเคชันกระเป๋าเงินที่ถูกกฎหมายและทำงานต่อไปแม้ว่าเซิร์ฟเวอร์ C2 จะไม่ตอบสนอง แสดงให้เห็นถึงระดับความคงอยู่ที่อาจเป็นเรื่องยากสำหรับผู้ใช้ในการตรวจจับและลบ”
Bambenek ตั้งข้อสังเกตว่าการป้องกันหลายอย่างจากระบบปฏิบัติการจำเป็นต้องปิดการใช้งานอย่างชัดเจนเพื่อให้แอปพลิเคชันเหล่านี้เข้าสู่ระบบตั้งแต่แรก ดังนั้นกลไกการป้องกันที่ใหญ่ที่สุดคือการหลีกเลี่ยงซอฟต์แวร์ละเมิดลิขสิทธิ์และแอปพลิเคชันต้นทางจาก App Store อย่างเป็นทางการเท่านั้น
“สำหรับผู้ใช้ที่ยังต้องการแอพพลิเคชั่นละเมิดลิขสิทธิ์ พวกเขาควรเก็บแอพพลิเคชั่น cryptocurrency และกระเป๋าเงินส่วนตัวของพวกเขาไว้ในเครื่องที่ปลอดภัยซึ่งไม่ได้ดาวน์โหลดและติดตั้งซอฟต์แวร์ดังกล่าว” เขากล่าว
Neel กล่าวว่าผู้ใช้ต้องใช้ความระมัดระวังต่อไป โดยเฉพาะอย่างยิ่งเมื่อจัดเก็บสกุลเงินดิจิทัลจำนวนมาก
“สกุลเงินดิจิทัลยังคงเป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์ ดังนั้นผู้ที่เป็นอันตรายจะได้รับแรงจูงใจให้พัฒนาพฤติกรรมและเทคโนโลยีของพวกเขา” เขากล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets