ນັກ​ວິ​ໄຈ​ຂອງ​ Trellix ແລະ​ Cyble labs ພົບ​ມັນ​ແວ​ (Malware) ​ລັກ​ຂໍ້​ມູນ​ເທິງ​ macOS ໂຕໃໝ່​ຊື່​ 'Atomic' (ຫຼື ​ເອີ້ນວ່າ​ 'AMOS') ກຳ​ລັງ​​ຂາຍ​ໃຫ້​ກັບ​ Hacker ຜ່ານ​ຊ່ອງ​ທາງ​ Telegram ສ່ວນ​ຕົວ​ ໂດຍ​ມີ​ຄ່າບ​ໍລິ​ການ​ $1,000 ຕໍ່​ເດືອນ​.

ຜູ້​ຊື້​ຈະ​ໄດ້ຮັບ​ຟາຍ DMG ທີ່​ມີ​ມັນ​ແວ​​ພາສາ​ Go-based ແບບ​ 64 ບິດ​ ຊຶ່ງ​ອອກ​ແບບ​ມາ​ເພື່ອ​ກໍານົດເປົ້າໝາຍ​ລະບົບ​ macOS ໂດຍ​ສະເພາະ​ ເພື່ອລັກ​ keychain password ຈາກ​ຟາຍ​ local filesystem ໃນ​ເຄື່ອງ​ ລວມ​ເຖິງ​ ລະຫັດ​ຜ່ານ,​ ຄຸກ​ກີ້​ ແລະ​ ບັດ​​ເຄຣ​ດິດ​ ທີ່​​ຖືກ​ຈັດເກັບ​ໄວ້​ໃນ​ບ​ຣາ​ວ​ເຊີ​ (Browser)​ ນອກ​ຈາກ​ນີ້​ຍັງ​ສາມາດ​ລັກ​ຂໍ້ມູນ​ຈາກ​ cryptocurrency extension ເຖິງ​ 50 ລາຍ​ການ ພ້ອມທັງ​ໄດ້ຮັບ​ໜ້າ​ເວັບ​ panel ສຳລັບ​ການ​ຈັດການ​ເຄື່ອງ​ຂອງເຫຍື່ອ​ (ready-to-use web panel), MetaMask brute-forcer, ໂຕ​ກວດ​ສອບ​ສະ​ກຸນ​ເງິນ​ດິ​ຈິຕ໋ອນ​, ໂຕຕິດ​ຕັ້ງ​ dmg installer ລວມ​ເຖິງ​ຄວາມ​ສາມາດ​ໃນ​ການ​ຮັບ​ບັນ​ທຶກ​ທີ່​ຖືກ​ລັກ​ຜ່ານ​ທາງ​ Telegram.

Atomic ເປີດໂຕເວີ​​ຊັ່ນ​ໃໝ່​ໃນ​ ວັນທີ​ 25 ເມ​ສາ​ 2023 ສະແດງ​ໃຫ້​ເຫັນ​ເຖິງ​ການ​ພັດທະນາ​ມັນ​ແວ​​ດັ່ງ​ກ່າວ​ຢ່າງ​ຕໍ່​ເນື່ອງ​ ຊຶ່ງ​ນັກ​ວິໄ​ຈ​ພົບ​ວ່າ​ dmg file ທີ່ເປັນ​ອັນຕະລາຍ​ ໄດ້​ຖືກ​ລາຍ​ງານ​ໃນ​ VirusTotal ແລ້ວ​ພົບ​ວ່າ​ ຈາກ​ 26 ໃນ​ 59 ຂອງ​ AV engines ທີ່​ລະ​ບຸ​ວ່າ​ເປັນ​ຟາຍ​ອັນຕະລາຍ​.

ຄວາມ​ສາມາດ​ຂອງ​ Atomic

Atomic Stealer ປະກອບ​​ດ້ວຍ​ຄວາມສາມາດ​ໃນ​ການ​ລັກ​ຂໍ້​ມູນ​ທີ່​ຄົບ​ຊຸດ​ ເຮັດໃຫ້​ແຮັກເກີ (Hacker) ມີ​ໂອ​ກາດ​ຫຼາຍ​ຂຶ້ນ​ໃນ​ການ​ໂຈມ​ຕີ​​ລະບົບ​ເປົ້າ​ໝາຍ​. ​ເມື່ອ​ຣັນ​ (Run) ຟາຍ​ dmg ມັນ​ແວ​ຈະ​ສະແດງ​ໜ້າ​ຕ່າງ​ prompt ສຳລັບ​ປ້ອນລະ​ຫັດ​ຜ່ານ​ປອມ​ ເພື່ອ​ໃຫ້​ເຫຍື່ອປ້ອນລະ​ຫັດ​ຜ່ານ​ເທິງ​ລະບົບ​ ຊຶ່ງ​ຈະ​ເຮັດໃຫ້​ແຮັກເກີ ໄດ້ຮັບ​ສິດ​ຂັ້ນ​ສູງ​ໃນ​ເຄື່ອງ​ຂອງ​ເປົ້າ​ໝາຍ​.



ຫຼັງ​ຈາກ​ນັ້ນ​ມັນ​ແວ​ຈະ​ພະຍາຍາມ​ແຍກ​ລະຫັດ​ຜ່ານ​ Keychain ຊຶ່ງ​ເປັນ​ໂຕຈັດການ​ລະ​ຫັດ​ຜ່ານ​ໃນ​ຕົວ​ຂອງ​ macOS ທີ່​ເກັບ​ລະ​ຫັດ​ຜ່ານ​ WiFi, ການ​ເຂົ້າ​ສູ່​ລະບົບ​ເວັບ​ໄຊ​​, ຂໍ້​ມູນ​ບັດ​ເຄຣ​ດິດ​ ແລະ​ ຂໍ້​ມູນ​ເຂົ້າ​ລະ​ຫັດ​ອື່ນ​ໆ​.

ຫຼັງ​ຈາກ​ດຳ​ເນີນ​ການ​ຂ້າງ​ຕົ້ນ​ແລ້ວ​ Atomic ຈະ​ດຳ​ເນີນ​ການ​ລັກ​ຂໍ້​ມູນ​ຈາກຊ໋ອບ​ແວ​​ທີ່​ເຮັດວຽກ​ເທິງ​ເຄື່ອງ​ macOS ທີ່​ຖືກ​ໂຈມ​ຕີ ລວມ​ເຖິງ​ຂໍ້​ມູນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

• ຂໍ້​ມູນ​ cryptocurrency wallet : Electrum, Binance, Exodus, Atomic
• ຂໍ້​ມູນ​ Cryptocurrency wallet extension : extension ທັງໝົດ 50 ລາຍການ ຊຶ່ງລວມທັງ  Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi ແລະ BinanceChain.
• ຂໍ້ມູນ Web browser : auto-fill ລະ​ຫັດ​ຜ່ານ​ ຄຸກ​ກີ້​ ແລະ ​ບັດ​ຣ​ເຄຣ​ດິດ​ ຈາກ​ Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera ແລະ Vivaldi.
• ຂໍ້ມູນ System information : ຊື່ຮຸ່ນ, UUID ຂອງຮາດແວ, ຂະໜາດ RAM, ຈໍານວນຄໍ (Core count) , ໝາຍເລກຊີຣຽວ (Serial number) ແລະ ອື່ນໆ.

ນອກຈາກນີ້ຍັງພົບວ່າ  Atomic ສາມາດລັກຟາຍໄດ້ໂດຍກົງຈາກ directory  'Desktop' ແລະ 'Documents' ຂອງ​ເຫຍື່ອ​ ແຕ່​ຍັງ​ຈຳ​ເປັນ​ຕ້ອງ​ຂໍ​.



ເມື່ອ​ລັກ​ຂໍ້​ມູນ​ສຳເລັດ​ແລ້ວ​ ມັນ​ແວ​​ຈະ​ບັນ​ທຶກ​ຂໍ້​ມູນ​ທັງ​ໝົດ​ລົງ​ໃນ​ຟາຍ ZIP ແລ້ວ​ສົ່ງ​ອອກ​ໄປ​ຫາ​ command and control (C2) Server ຂອງ​ແຮັກເກີ ຊຶ່ງ​ຢູ່​ທີ່​ "amos-malware[.]ru/sendlog" ນອກ​ຈາກ​ນີ້​ຍັງ​ພົບ​ວ່າ​ IP address ທີ່​ເຊື່ອມ​ໂຍງ​ກັບ​ C2 Server ໄດ້​ຖືກ​ໃຊ້​ໂດຍ​ກຸ່ມ​ Raccoon Stealer ຊຶ່ງ​ອາດຈະ​ມີ​ຄວາມ​ເຊື່ອມ​ໂຍງ​ກັນ​.

ເຖິງວ່າ​ macOS ຈະ​ບໍ່​ແມ່ນ​ເປົ້າ​ໝາຍ​ຫຼັກ​ໃນ​ການ​ໂຈມ​ຕີ​ຂອງ​ກຸ່ມ​ແຮັກເກີ ແຕ່​ກໍ່​ພົບ​ວ່າ​ປັດຈຸບັນ​ macOS ໄດ້​ເລີ່ມ​ຕົກ​ເປັນ​ເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ​ຂອງ​ກຸ່ມ​ແຮັກເກີຕ່າງ​ໆ​ເພີ່ມ​ຂຶ້ນ​ຢ່າງ​ຕໍ່​ເນື່ອງ​ ເຊັ່ນ​: ການ​ໂຈມ​ຕີ​ 3CX supply chain attack ຈາກ​ກຸ່ມ​ APT ຂອງ​ເກົາ​ຫຼີ​ເໜືອ​ ທີ່ມີ​ເປົ້າ​ໝາຍໄປທີ່​ macOS ອີກ​ດ້ວຍ​.

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/new-atomic-macos-info-stealing-malware-targets-50-crypto-wallets/
2. https://www.i-secure.co.th/2023/05/%e0%b8%9e%e0%b8%9a%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c%e0%b8%82%e0%b9%82%e0%b8%a1%e0%b8%a2%e0%b8%82%e0%b9%89%e0%b8%ad%e0%b8%a1%e0%b8%b9%e0%b8%a5%e0%b9%83%e0%b8%99-macos/