TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิเคราะห์มัลแวร์ค้นพบเวอร์ชันใหม่ของ Atomic macOS infostealer (AMOS) ที่มาพร้อมกับ backdoor ทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกได้อย่างถาวร สามารถรันคำสั่งจากระยะไกลและคงอยู่ในระบบแม้หลังการรีบูต
Moonlock หน่วยงานด้านความปลอดภัยไซเบอร์ของ MacPaw ได้วิเคราะห์ backdoor ใน Atomic malware หลังได้รับข้อมูลจากนักวิจัยอิสระ g0njxa โดยพบว่าแคมเปญมัลแวร์ AMOS ได้แพร่กระจายไปกว่า 120 ประเทศทั่วโลก มีสหรัฐอเมริกา ฝรั่งเศส อิตาลี สหราชอาณาจักร และแคนาดาเป็นประเทศที่ได้รับผลกระทบมากที่สุด เวอร์ชันที่มี backdoor นี้มีศักยภาพในการเข้าถึงอุปกรณ์ Mac หลายพันเครื่องทั่วโลกอย่างเต็มรูปแบบ
Atomic stealer ถูกค้นพบครั้งแรกในเดือนเมษายน 2023 เป็นบริการ malware-as-a-service (MaaS) ที่โปรโมทผ่าน Telegram ด้วยค่าสมาชิกรายเดือน 1,000 ดอลลาร์ มัลแวร์นี้กำหนดเป้าหมายไปที่ไฟล์ macOS, ส่วนขยาย cryptocurrency และรหัสผ่านผู้ใช้งานที่เก็บไว้ในเว็บเบราว์เซอร์ ล่าสุดได้เปลี่ยนจากการกระจายผ่านช่องทางกว้างๆ เช่น เว็บซอฟต์แวร์เถื่อน มาเป็นการโจมตีแบบ phishing ที่มุ่งเป้าไปที่เจ้าของ cryptocurrency และคำเชิญสัมภาษณ์งานสำหรับ freelancer โดยเวอร์ชันที่วิเคราะห์มาพร้อมกับ backdoor แบบฝังตัว ใช้ LaunchDaemons เพื่อคงอยู่หลังรีบูตบน macOS มีการติดตามเหยื่อแบบใช้ ID และโครงสร้าง command-and-control ใหม่
ไฟล์ backdoor หลักเป็น binary ชื่อ .helper ที่ดาวน์โหลดและบันทึกในไดเรกทอรีหลักของเหยื่อ มี wrapper script ชื่อ .agent ที่รัน .helper แบบวนลูป ขณะที่ LaunchDaemon (com.finder.helper) ที่ติดตั้งผ่าน AppleScript จะทำให้ .agent ทำงานเมื่อเริ่มระบบ การดำเนินการนี้ใช้สิทธิ์ยกระดับด้วยรหัสผ่านของผู้ใช้งานที่ถูกขโมยในช่วงติดเชื้อเริ่มต้น Backdoor อนุญาตให้ผู้โจมตีรันคำสั่งจากระยะไกล, บันทึกการพิมพ์, และส่ง payload เพิ่มเติม เพื่อหลบเลี่ยงการตรวจจับ backdoor จะตรวจสอบสภาพแวดล้อม sandbox หรือ virtual machine ด้วย การพัฒนาของ Atomic malware แสดงให้เห็นว่าผู้ใช้งาน macOS กำลังกลายเป็นเป้าหมายที่น่าสนใจมากขึ้น และแคมเปญที่มุ่งโจมตีมีความซับซ้อนเพิ่มขึ้นเรื่อยๆ
