มัลแวร์ macOS แบบใหม่ที่ชื่อ Reaper แพร่กระจายผ่านหน้าดาวน์โหลดปลอมที่แอบอ้างเป็น WeChat และ Miro หลอกล่อให้ทำงานตัวแก้ไขสคริปต์ที่มีอยู่ในระบบในตัว และซ่อนโค้ดที่เป็นอันตรายไว้ Reaper มุ่งเป้าไปที่กระเป๋าเงินเข้ารหัสแบบเดสก์ท็อปอย่าง Ledger Live, Trezor Suite และ Exodus โดยแก้ไขโค้ดภายในกระเป๋าเงินเพื่อสกัดกั้นธุรกรรมในอนาคตและเปลี่ยนเส้นทางเงินไปยังผู้โจมตี
กลไกการโจมตีของ Reaper: ตัวแก้ไขสคริปต์แทนเทอร์มินัล
จุดเด่นทางเทคนิคของ Reaper คือการใช้ตัวแก้ไขสคริปต์ที่ติดตั้งมาพร้อมระบบแทนที่จะเป็นเทอร์มินัล (การอัปเดต macOS ล่าสุดของ Apple ได้แก้ไขช่องโหว่ที่เกี่ยวข้องกับเทอร์มินัลแล้ว) ขั้นตอนการโจมตี: เว็บไซต์ดาวน์โหลดปลอมใช้ AppleScript ผ่านลิงก์ applescript:// เพื่อเรียกตัวแก้ไขสคริปต์ โค้ดร้ายถูกซ่อนไว้ด้วยอักขระ ASCII และช่องว่าง หลังจากผู้ใช้กดปุ่มเล่นแล้วจะรันโดยอัตโนมัติ จากนั้นจะมีการเด้งหน้าต่างการอัปเดตความปลอดภัยของ Apple ปลอมขึ้นมาทันที โดยขอให้ผู้เสียหายใส่รหัสผ่านของเครื่อง
ก่อนขโมย Reaper จะตรวจสอบเค้าโครงแป้นพิมพ์ของระบบ—หากตั้งค่าเป็นภาษารัสเซีย มัลแวร์จะหยุดทำงาน มิฉะนั้นจะเริ่มโมดูลการขโมยข้อมูลที่เลียนแบบ Atomic macOS Stealer (AMOS) นักวิจัยด้านความปลอดภัยพบโดเมนเลียนแบบแบบมีข้อผิดพลาดในการสะกดคล้ายไมโครซอฟต์ (mlcrosoft[.]co[.]com)
เป้าหมายการโจมตีและขอบเขตการรั่วไหลของข้อมูล
Reaper ยืนยันขอบเขตเป้าหมายการโจมตีว่าได้แก่:
กระเป๋าเงินเข้ารหัสแบบเดสก์ท็อป: Ledger Live, Trezor Suite, Exodus (แก้ไขโค้ดภายในเพื่อดักจับธุรกรรม)
ข้อมูลรับรองสำหรับเบราว์เซอร์: รหัสผ่านที่เก็บไว้ใน Chrome, Firefox, Edge; ส่วนขยายเบราว์เซอร์อย่าง 1Password และ MetaMask
ประเภทไฟล์: .docx, .pdf, .xlsx, .wallet, .keys ในเดสก์ท็อปและโฟลเดอร์ไฟล์ (บีบอัดเป็นก้อน ZIP ขนาด 70MB แล้วอัปโหลดไปยังเซิร์ฟเวอร์คำสั่งและควบคุมภายนอก)
กลไกการคงอยู่ (persistence): ติดตั้งแบ็กดอร์ที่ปลอมตัวเป็นไดเรกทอรีอัปเดตซอฟต์แวร์ของ Google
คำถามที่พบบ่อย
เส้นทางการติดเชื้อของมัลแวร์ Reaper คืออะไร?
จากรายงานของ Cryptopolitan และ Moonlock Reaper แพร่กระจายโดยแอบอ้างเป็นหน้าดาวน์โหลดปลอมของ WeChat และ Miro โดยเว็บไซต์ใช้ AppleScript URL เพื่อเรียกตัวแก้ไขสคริปต์ของระบบให้ทำงานอัตโนมัติ และฝังโค้ดร้ายที่ซ่อนอยู่เข้าไปในนั้นไว้ล่วงหน้า หลังจากผู้ใช้กดปุ่มเล่นของตัวแก้ไขสคริปต์เพื่อรันการโจมตี จากนั้นกล่องโต้ตอบการอัปเดตความปลอดภัยของ Apple ที่ปลอมจะถูกใช้เพื่อหลอกให้ผู้เสียหายใส่รหัสผ่านของเครื่อง
Reaper แก้ไขกระเป๋าเงินเข้ารหัสอย่างไร?
Reaper แก้ไขโค้ดโปรแกรมภายในแอปกระเป๋าเงินเข้ารหัสแบบเดสก์ท็อป เช่น Ledger Live, Trezor Suite และ Exodus เพื่อให้ธุรกรรมสกุลเงินดิจิทัลในอนาคตถูกสกัดกั้นโดยที่ผู้เสียหายไม่รู้ตัว และเปลี่ยนเส้นทางไปยังที่อยู่ที่ผู้โจมตีควบคุม
ผู้ใช้ macOS ป้องกัน Reaper อย่างไร?
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำว่า: ตรวจสอบแหล่งที่มาของลิงก์ดาวน์โหลดก่อนติดตั้งโปรแกรมใหม่ทุกครั้ง ไม่ใส่รหัสผ่านของเครื่องในหน้าต่างที่เด้งขึ้นมาโดยไม่คาดคิด หากเว็บไซต์แจ้งให้เปิดตัวแก้ไขสคริปต์ ให้ปิดแท็บนั้นทันที ใช้เครื่องมือด้านความปลอดภัยที่สามารถดักจับสคริปต์ที่ถูกทำให้สับสนได้
