Breaking News

พบมัลแวร์ตัวใหม่บน Mac พยายามเข้าถึง Webcam ของเครื่อง

นักวิจัยทางด้านความปลอดภัยจาก Sophos พบมัลแวร์บน OS X ตัวใหม่ ชื่อว่า OSX/Eleanor-A ซึ่งมีความพยายามจะเก็บรูปภาพจาก Webcam ของเครื่องและส่งไปยัง Darkweb

eleanor-a-malware

OSX/Eleanor-A ฝังตัวอยู่ในแอพพลิเคชัน EasyDoc Converter โดยอ้างว่าสามารถใช้ในการแปลงไฟล์ระหว่าง Windows มาเปิดบน OS X ได้ แต่เมื่อผู้ใช้งานเปิดแอพพลิเคชันมาก็จะพบแค่หน้าเปล่าไว้หลอกผู้ใช้งาน ซึ่งไม่สามารถใช้งานได้จริง แต่มัลแวร์จะพยายามฝัง Background Service ไว้ในเครื่อง เพื่อเชื่อมต่อกับผู้ไม่ประสงค์ดีภายนอก โดยลำดับการทำงานของ OSX/Eleanor-A มีดังนี้

  • แฝงตัวอยู่ใน Utility ชื่อว่า EasyDoc Converter ใช้ในการแปลงไฟล์ระหว่าง Windows กับ Mac ทำให้จำนวนผู้ใช้งานเพิ่มขึ้นอย่างรวดเร็ว เนื่องจากเหยื่อจำนวนมากสามารถค้นหาผ่าน Search Engine และดาวน์โหลดมาทดลองได้อย่างง่ายดาย
  • EasyDoc Converter ติดตั้งง่าย และเมื่อใช้งานไม่ได้ตามที่คาดไว้ เหยื่อก็จะลบแอพพลิเคชันทิ้ง โดยที่ไม่รู้ว่า Background Service ได้ถูกติดตั้งลงบนเครื่องไปแล้ว และ Background Service นี้ไม่ได้ถูกลบออกตาม ซึ่งในเบื้องหลัง มีการติดตั้ง Programs และ Scripts จำนวนมากลงบนเครื่อง
  • Background Program #1 ใช้ในการเชื่อมต่อเข้ากับเครือข่าย Tor (The Onion Router) เพื่อทำให้เครื่องของเหยื่อสามารถเข้าถึงได้จากภายนอก นอกจากนี้ยังมีการส่งข้อมูลเครื่องไปยัง Dark Web อีกด้วย ซึ่งเรียกว่า “hidden service”
  • Background Program #2 เป็น PHP administration script เพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงไฟล์ทั้งหมดจาก Web browser ภายนอกได้
  • Background Program #3 ทำการอัพโหลดชื่อของ hidden service ที่สร้างขึ้น ไปยังบัญชี Pastebin เพื่อเป็นการส่งข้อมูลช่องทางสำหรับเข้าถึงเครื่องให้แฮ็คเกอร์รู้
  • มัลแวร์ตัวนี้มีการติดตั้ง Utility หลายตัวเพื่อใช้ในการทำงาน เช่น Netcat เพื่อใช้ในการรับส่งข้อมูลผ่านเครือข่าย และหนึ่งใน Utility ที่ติดตั้งคือ Wacaw ซึ่งในการถ่ายภาพและวิดีโอจาก Webcam ของเครื่อง หลังจากนั้นจะใช้ PHP-based image browsing tool เพื่อดูรูปและดาวน์โหลดจากภายนอกได้ แต่ Wacaw นั้นเป็นเครื่องมือที่ค่อนข้างเก่า ไม่สามารถใช้ได้บน OS X เวอร์ชันล่าสุด แต่อย่างไรก็ตาม PHP admin shell สามารถทำให้ผู้ไม่ประสงค์ดีสามารถอัพโหลดเครื่องมืออื่นๆเข้ามายังเครื่องของเหยื่อได้ ซึ่งในอนาคตอาจจะมีเครื่องมือตัวใหม่มาแทน Wacaw ก็เป็นได้

wacaw-webcam

มัลแวร์ตัวนี้น่าสนใจตรงที่มีการใช้เครื่องมือต่างๆที่เปิดให้ใช้งานฟรีและใช้กันเป็นวงกว้างอยู่แล้วมาสร้างเป็นมัลแวร์ โดยการติดตั้งก็ไม่จำเป็นต้องใช้สิทธิ Administrator ในการรันแต่อย่างใด ซึ่งระหว่างการติดตั้งก็ไม่จำเป็นต้องใส่รหัสผ่านของ Administrator อีกด้วย

ทาง Sophos แนะนำ ให้ตั้งค่าเพื่ออนุญาตให้ติดตั้งเฉพาะแอพพลิเคชันที่ผ่านการลงทะเบียนกับ Apple Developer หรือ Mac App Store เท่านั้นจึงจะปลอดภัย แต่อย่างไรก็ตามผู้ไม่ประสงค์ดีสามารถทำการขโมย Developer keys มาใช้กับมัลแวร์ของตนเพื่อให้ผ่านกระบวนการนี้ได้ ผู้ใช้งานควรระมัดระวังอยู่เสมอในการติดตั้งแอพพลิเคชันต่างๆลงบนเครื่องทุกครั้ง

mac-app-security

ที่มา : https://nakedsecurity.sophos.com/2016/07/08/new-mac-malware-tries-to-hook-your-webcam-up-to-the-dark-web/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

IBM เผยสร้าง Quantum Safe Tape Drive สำเร็จแล้ว

IBM ได้ออกมาเผยถึงผลงานจากทีม IBM Research ที่ Switzerland ร่วมกับทีม IBM Tape Developer ที่ได้ใช้เวลา 10 เดือนในการพัฒนาเทคโนโลยี Quantum Safe Tape Drive ซึ่งเข้ารหัสข้อมูลบน Tape ด้วยวิธีการที่ทนทานต่อพลังประมวลผลของ Quantum Computer ในอนาคตได้สำเร็จ

ซื้อไม่หยุด! VMware เผยแผนเข้าซื้อกิจการ Intrinsic ผู้พัฒนาเทคโนโลยีความปลอดภัยบน Serverless Computing

VMware ได้ออกมายืนยันถึงแผนการเข้าซื้อกิจการของ Instrinsic บริษัท Startup ด้าน Security สำหรับ Serverless Computing โดยไม่เปิดเผยมูลค่า