พบมัลแวร์ตัวใหม่บน Mac พยายามเข้าถึง Webcam ของเครื่อง

นักวิจัยทางด้านความปลอดภัยจาก Sophos พบมัลแวร์บน OS X ตัวใหม่ ชื่อว่า OSX/Eleanor-A ซึ่งมีความพยายามจะเก็บรูปภาพจาก Webcam ของเครื่องและส่งไปยัง Darkweb

eleanor-a-malware

OSX/Eleanor-A ฝังตัวอยู่ในแอพพลิเคชัน EasyDoc Converter โดยอ้างว่าสามารถใช้ในการแปลงไฟล์ระหว่าง Windows มาเปิดบน OS X ได้ แต่เมื่อผู้ใช้งานเปิดแอพพลิเคชันมาก็จะพบแค่หน้าเปล่าไว้หลอกผู้ใช้งาน ซึ่งไม่สามารถใช้งานได้จริง แต่มัลแวร์จะพยายามฝัง Background Service ไว้ในเครื่อง เพื่อเชื่อมต่อกับผู้ไม่ประสงค์ดีภายนอก โดยลำดับการทำงานของ OSX/Eleanor-A มีดังนี้

  • แฝงตัวอยู่ใน Utility ชื่อว่า EasyDoc Converter ใช้ในการแปลงไฟล์ระหว่าง Windows กับ Mac ทำให้จำนวนผู้ใช้งานเพิ่มขึ้นอย่างรวดเร็ว เนื่องจากเหยื่อจำนวนมากสามารถค้นหาผ่าน Search Engine และดาวน์โหลดมาทดลองได้อย่างง่ายดาย
  • EasyDoc Converter ติดตั้งง่าย และเมื่อใช้งานไม่ได้ตามที่คาดไว้ เหยื่อก็จะลบแอพพลิเคชันทิ้ง โดยที่ไม่รู้ว่า Background Service ได้ถูกติดตั้งลงบนเครื่องไปแล้ว และ Background Service นี้ไม่ได้ถูกลบออกตาม ซึ่งในเบื้องหลัง มีการติดตั้ง Programs และ Scripts จำนวนมากลงบนเครื่อง
  • Background Program #1 ใช้ในการเชื่อมต่อเข้ากับเครือข่าย Tor (The Onion Router) เพื่อทำให้เครื่องของเหยื่อสามารถเข้าถึงได้จากภายนอก นอกจากนี้ยังมีการส่งข้อมูลเครื่องไปยัง Dark Web อีกด้วย ซึ่งเรียกว่า “hidden service”
  • Background Program #2 เป็น PHP administration script เพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงไฟล์ทั้งหมดจาก Web browser ภายนอกได้
  • Background Program #3 ทำการอัพโหลดชื่อของ hidden service ที่สร้างขึ้น ไปยังบัญชี Pastebin เพื่อเป็นการส่งข้อมูลช่องทางสำหรับเข้าถึงเครื่องให้แฮ็คเกอร์รู้
  • มัลแวร์ตัวนี้มีการติดตั้ง Utility หลายตัวเพื่อใช้ในการทำงาน เช่น Netcat เพื่อใช้ในการรับส่งข้อมูลผ่านเครือข่าย และหนึ่งใน Utility ที่ติดตั้งคือ Wacaw ซึ่งในการถ่ายภาพและวิดีโอจาก Webcam ของเครื่อง หลังจากนั้นจะใช้ PHP-based image browsing tool เพื่อดูรูปและดาวน์โหลดจากภายนอกได้ แต่ Wacaw นั้นเป็นเครื่องมือที่ค่อนข้างเก่า ไม่สามารถใช้ได้บน OS X เวอร์ชันล่าสุด แต่อย่างไรก็ตาม PHP admin shell สามารถทำให้ผู้ไม่ประสงค์ดีสามารถอัพโหลดเครื่องมืออื่นๆเข้ามายังเครื่องของเหยื่อได้ ซึ่งในอนาคตอาจจะมีเครื่องมือตัวใหม่มาแทน Wacaw ก็เป็นได้

wacaw-webcam

มัลแวร์ตัวนี้น่าสนใจตรงที่มีการใช้เครื่องมือต่างๆที่เปิดให้ใช้งานฟรีและใช้กันเป็นวงกว้างอยู่แล้วมาสร้างเป็นมัลแวร์ โดยการติดตั้งก็ไม่จำเป็นต้องใช้สิทธิ Administrator ในการรันแต่อย่างใด ซึ่งระหว่างการติดตั้งก็ไม่จำเป็นต้องใส่รหัสผ่านของ Administrator อีกด้วย

ทาง Sophos แนะนำ ให้ตั้งค่าเพื่ออนุญาตให้ติดตั้งเฉพาะแอพพลิเคชันที่ผ่านการลงทะเบียนกับ Apple Developer หรือ Mac App Store เท่านั้นจึงจะปลอดภัย แต่อย่างไรก็ตามผู้ไม่ประสงค์ดีสามารถทำการขโมย Developer keys มาใช้กับมัลแวร์ของตนเพื่อให้ผ่านกระบวนการนี้ได้ ผู้ใช้งานควรระมัดระวังอยู่เสมอในการติดตั้งแอพพลิเคชันต่างๆลงบนเครื่องทุกครั้ง

mac-app-security

ที่มา : https://nakedsecurity.sophos.com/2016/07/08/new-mac-malware-tries-to-hook-your-webcam-up-to-the-dark-web/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Nexos.ai ระดมทุน 8 ล้านดอลลาร์ ช่วยให้โปรเจกต์ AI ขององค์กรง่ายยิ่งขึ้น

Nexos.ai สตาร์ทอัพหน้าใหม่ที่ช่วยองค์กรต่าง ๆ ในการรันโมเดลภาษาใหญ่ (Large Language Models: LLM) ระดมทุนได้ 8 ล้านดอลลาร์จากกลุ่มนักลงทุนที่นำโดย Index Ventures มีแผนจะเปิดตัวแพลตฟอร์มอย่างเป็นทางการภายในไตรมาสนี้ และในขณะนี้กำลังทดสอบซอฟต์แวร์กับองค์กรหลายแห่งที่นำไปใช้ในกรณีต่าง …

Empowering the future of ERP operations with ServiceNow [PR]

NDBS Thailand ขอเรียนเชิญทุกท่านเข้าร่วมงาน Webinar: Empowering the future of ERP operations with ServiceNow โดยไม่มีค่าใช้จ่าย ในวันพฤหัสที่ 13 …