ภัยใหม่บน macOS เมื่อมัลแวร์ปลอมเป็นโปรแกรมอัปเดต Visual Studio 

12 Feb 2024 Cybersecurity

มัลแวร์เกิดใหม่ RustDoor กำลังกลายเป็นภัยคุกคามบนซอฟต์แวร์ macOS หลังแฝงตัวเป็นโปรแกรมเขียนโค้ด Visual Studio ที่นิยมใช้กัน 

การทำงานของมัลแวร์ RustDoor จะใช้ภาษา Rust เป็นพื้นฐาน แฝงเป็นโปรแกรมอัปเดตชื่อ Visual Studio For Mac เป้าหมายคือ สร้างช่องโหว่ให้กับซอฟต์แวร์ (backdoor) เพื่อควบคุมระบบให้ติดไวรัส และยังสามารถทำงานบนระบบ Intel (x86_64) และ ARM (Apple Silicon) 

การโจมตีเริ่มต้นมาตั้งแต่เดือนพฤศจิกายนปีที่แล้ว ซึ่งตลอดระยะเวลาที่ผ่านมาจนถึงตอนนี้มีการปล่อย มัลแวร์ตัวใหม่ออกมาเรื่อย ๆ เช่นกัน 

นักวิจัยด้านความปลอดภัยไซเบอร์จาก Bitdefender พบว่า มัลแวร์ RustDoor มีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ชื่อว่า ALPHV/BlackCat  และ BlackBasta หลังพบการเชื่อมโยงของมัลแวร์กับระบบบัญชาการและควบคุม (Command and Control System หรือ C2) 4 แห่ง และ 3 ใน 4 เชื่อมโยงกันกับเครือข่ายดังกล่าว 

แม้ว่าหลักฐานจะยังไม่เพียงพอที่จะระบุว่าเป็นกลุ่มแฮ็กเกอร์ดังกล่าว แต่การโจมตีของกลุ่มแฮ็กเกอร์ ยังคงมีข้อจำกัดอยู่ ซึ่งปัจจุบันยังไม่มีรายงานว่ามีการโจมตีบน macOS โดยตรงแต่แน่นอนว่ายังคงมีมัลแวร์อื่น ๆ ที่โจมตีบนระบบนี้นั่นคือ  KeySteal และ Atomic Stealer 

กลุ่มแฮ็กเกอร์ยังคงมุ่งเป้าหมายไปที่ระบบ Windows และ Linux เนื่องจากองค์กรหลายแห่งนิยมใช้ โปรแกรมหรือซอฟต์แวร์เหล่านี้ ในส่วนของวิธีการฝังมัลแวร์จะใช้  Cron job และ LaunchAgents เพื่อกำหนดเวลาการดำเนินการหรือเมื่อผู้ใช้เข้าสู่ระบบ หรือ ปรับแต่งไฟล์แบบ ~/.zshrc เพื่อทำงานเมื่อเปิด Terminal ใหม่ หรือ เพิ่มมัลแวร์ลงใน Dock เพื่อให้ดูเหมือนโปรแกรมทั่วไป

ความสามารถของ RustDoor เมื่อติดไวรัสโปรแกรมจะเริ่มเชื่อมกับระบบบัญชาการและควบคุม (C2) จากนั้นก็สามารถใส่ฟังก์ชันบนระบบได้ดังนี้ 

  • ps: แสดงรายการโปรแกรมที่ทำงานอยู่
  • shell: อนุญาตให้ผู้โจมตีควบคุมระบบโดยตรง
  • cd: เปลี่ยนไดเรกทอรี
  • mkdir: สร้างไดเรกทอรีใหม่
  • rm: ลบไฟล์
  • rmdir: ลบไดเรกทอรี
  • sleep: หยุดการทำงานชั่วครู่
  • upload: ส่งไฟล์ไปยังเซิร์ฟเวอร์ของผู้โจมตี
  • botkill: ยุติการทำงานของมัลแวร์ตัวอื่น
  • dialog: แสดงข้อความหรือคำถามหลอกลวงผู้ใช้
  • taskkill: ยุติการทำงานของโปรแกรมบางตัว
  • download: ดาวน์โหลดมัลแวร์หรืออัปเดตเพิ่มเติม

วิธีการป้องกันที่ดีที่สุดนั่นคือ การดาวน์โหลดโปรแกรม หรือ ซอฟต์แวร์ของแท้บนเว็บไซต์ที่เป็นต้นทาง  เช่น Microsoft  ไม่ควรติดตั้งโปรแกรม Visual Studio จากแหล่งอื่นที่ไม่ใช่เว็บต้นทาง

ที่มา : Bleeping Computer

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ

CyberSecuritymalware