ความปลอดภัยทางไซเบอร์เป็นความรับผิดชอบร่วมกัน เพราะจุดอ่อนเพียงจุดเดียวสามารถทำให้ทั้งระบบล่มได้ ผู้พัฒนาซอฟต์แวร์และผู้เชี่ยวชาญด้านความปลอดภัยจึงมักร่วมมือกันค้นหาช่องโหว่ รายงานแบบไม่เปิดเผย และแก้ไขก่อนที่จะถูกนำไปใช้โจมตี หนึ่งในนั้นคือ Microsoft Threat Intelligence ที่ได้ร่วมมือกับ Apple เพื่ออุดช่องโหว่สำคัญที่อาจนำไปสู่การขโมยข้อมูลสำคัญ เช่น รหัสผ่านและกระเป๋าคริปโต
จากข้อมูลที่เปิดเผย Microsoft ระบุว่ามีแคมเปญโจมตีที่ซับซ้อนโดยกลุ่มแฮ็กเกอร์จากเกาหลีเหนือชื่อ Sapphire Sleet ซึ่งมุ่งเป้าไปที่ผู้ใช้ macOS โดยใช้เทคนิค Social Engineering มากกว่าการเจาะช่องโหว่ซอฟต์แวร์โดยตรง
วิธีการคือ แฮ็กเกอร์จะสร้างโปรไฟล์ปลอมเป็น recruiter ติดต่อเหยื่อเรื่องงาน และเชิญเข้าร่วมสัมภาษณ์ เมื่อเหยื่อเข้าร่วม จะถูกขอให้ติดตั้งไฟล์ “Zoom SDK Update.scpt” ซึ่งเป็น AppleScript ที่เปิดใน Script Editor ของ macOS แม้หน้าตาจะดูปกติ แต่หากเลื่อนลงไปลึก ๆ จะพบโค้ดอันตรายที่ซ่อนอยู่ และเหยื่อจะถูกหลอกให้รันสคริปต์ดังกล่าว
เมื่อรันแล้ว สคริปต์จะดาวน์โหลดมัลแวร์เพิ่มเติม และเริ่มเก็บข้อมูลของเครื่องและบัญชีผู้ใช้ จากนั้นจะแสดงแอป System Update ปลอมเพื่อหลอกให้ผู้ใช้กรอกรหัสผ่าน ซึ่งหน้าตาจะเหมือนของจริงมาก เมื่อผู้ใช้กรอกข้อมูล รหัสผ่านจะถูกส่งออกไปยังแฮ็กเกอร์ผ่าน Telegram Bot API
หลังจากนั้น ระบบจะเปิดหน้าต่างอัปเดตปลอมอีกครั้งเพื่อสร้างความน่าเชื่อถือ และติดตั้ง backdoor หลายตัวเพื่อให้สามารถเข้าถึงเครื่องได้ต่อเนื่อง
ข้อมูลที่ถูกขโมยมีหลายประเภท เช่น
- ข้อมูลระบบและอุปกรณ์
- แอปที่ติดตั้ง
- ข้อมูลจาก Telegram
- ข้อมูลเบราว์เซอร์และส่วนขยาย
- macOS Keychain
- กระเป๋าคริปโต
- SSH keys และประวัติคำสั่ง
- Apple Notes
- บันทึกระบบและความพยายามเข้าถึง
หลังจากตรวจพบ Microsoft ได้แจ้งไปยัง Apple ซึ่งได้ปรับปรุงความปลอดภัยของ macOS และ Safari ขณะที่ Microsoft ก็อัปเดต Defender เพื่อป้องกันภัยคุกคามนี้ พร้อมเผยแนวทางให้ทีมความปลอดภัยนำไปตรวจจับและรับมือ
ขอบเขตของการโจมตียังไม่ชัดเจน แต่คาดว่าเป็นการโจมตีแบบเจาะจงกลุ่มเป้าหมายที่มีมูลค่าสูง เนื่องจากใช้วิธีหลอกล่อผ่านการสมัครงาน และเน้นขโมยข้อมูลสำคัญอย่างกระเป๋าคริปโต อีกทั้งยังต้องเป็นผู้ใช้ macOS เท่านั้นจึงจะตกเป็นเป้าหมายได้
ที่มา: Neowin
