
นักวิจัยด้านความปลอดภัยจาก Jamf Threat Labs พบ PamStealer มัลแวร์ตัวใหม่ปลอมตัวเป็นโปรแกรมจัดการคลิปบอร์ดยอดนิยม Maccy เพื่อหลอกให้ผู้ใช้ติดตั้ง ก่อนขโมยข้อมูลและรหัสผ่านจากเครื่อง
Maccy เป็นโปรแกรมจัดการประวัติการคัดลอกและวาง (Clipboard Manager) แบบโอเพนซอร์สที่ได้รับความนิยมในกลุ่มผู้ใช้ Mac โดยเฉพาะผู้ใช้ระดับ Power User แม้ว่า Apple จะเพิ่มฟีเจอร์ประวัติคลิปบอร์ดผ่าน Spotlight ใน macOS Tahoe แล้ว แต่แอปจากนักพัฒนาภายนอกก็ยังคงมีผู้ใช้งานจำนวนมาก จึงกลายเป็นเป้าหมายที่ผู้ไม่หวังดีนำมาใช้หลอกลวง
กลโกงของมัลแวร์ตัวนี้เริ่มจากการสร้างเว็บไซต์ปลอมที่หน้าตาเหมือนเว็บไซต์ของ Maccy จากนั้นหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ที่ดูเหมือนตัวติดตั้งจริง แต่ที่จริงแล้วเป็นไฟล์ AppleScript ชื่อ Maccy.scpt ซึ่งถูกบรรจุมาในรูปแบบดิสก์อิมเมจ (DMG) เพื่อเพิ่มความน่าเชื่อถือ
เมื่อผู้ใช้เปิดไฟล์และรันสคริปต์ มัลแวร์จะดาวน์โหลดเพย์โหลดเพิ่มเติม ทำงานอยู่เบื้องหลังเพื่อรวบรวมข้อมูลจากเครื่อง Mac ก่อนส่งกลับไปยังผู้โจมตี หนึ่งในความสามารถที่อันตรายที่สุดคือการดักจับรหัสผ่านผ่านระบบ Pluggable Authentication Modules (PAM) ของ macOS ซึ่งเป็นที่มาของชื่อ PamStealer
สิ่งน่ากลัวคือ การใช้เทคนิคการโจมตีที่ซับซ้อนกว่ามัลแวร์บน macOS ทั่วไป แทนที่จะใช้คำสั่งเชลล์อย่าง curl หรือ zsh มันเลือกใช้ JavaScript for Automation (JXA) และ API ของ macOS ในการดาวน์โหลดและติดตั้งเพย์โหลด ก่อนใช้โค้ดที่เขียนด้วยภาษา Rust ในขั้นตอนถัดไป ทำให้การทำงานเงียบกว่าเดิมและลดโอกาสถูกตรวจจับจากระบบรักษาความปลอดภัยแบบเดิม
Jamf ระบุว่า แนวโน้มนี้สะท้อนให้เห็นว่ามัลแวร์สำหรับ macOS กำลังพัฒนาอย่างต่อเนื่อง โดยเลือกใช้เครื่องมือและฟีเจอร์ที่มีอยู่ในระบบปฏิบัติการเอง เพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการขโมยข้อมูล
สำหรับผู้ใช้ Maccy นักพัฒนาได้ย้ำว่า เว็บไซต์ทางการมีเพียงแห่งเดียวคือ maccy.app ดังนั้นก่อนดาวน์โหลดซอฟต์แวร์ ควรตรวจสอบ URL ให้ถูกต้องทุกครั้ง และหลีกเลี่ยงการดาวน์โหลดจากเว็บไซต์ที่ไม่รู้จักหรือผลการค้นหาที่น่าสงสัย
ที่มา macworld







