มัลแวร์ MacSync สามารถฝ่าระบบป้องกัน Gatekeeper ของ macOS ได้สบาย

macOS ครั้งหนึ่งเคยขึ้นชื่อในเรื่องไร้มัลแวร์ ความแข็งแกร่งของระบบสูง แต่วันนี้อาจจะต้องมีการตั้งคำถามถึงความเชื่อนี้ เนื่องจากเริ่มมีมัลแวร์หลากหลายตัวถูกพัฒนาขึ้นมาเพื่อโจมตีระบบ บางตัวก็ฉลาดล้ำในการฝ่าระบบรักษาความปลอดภัยของตัวระบบปฏิบัติการสุดแกร่งนี้ได้

จากรายงานโดยเว็บไซต์ Webpronews กล่าวถึงการตรวจพบมัลแวร์ที่มุ่งโจมตีกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS ตัวใหม่ที่มีชื่อว่า MacSync Stealer โดยมัลแวร์ดังกล่าวนั้นเป็นมัลแวร์ประเภท Infostealer หรือมัลแวร์ที่มีจุดประสงค์เพื่อการขโมยข้อมูลของเหยื่อ ซึ่งจะมุ่งขโมยข้อมูลอ่อนไหว เช่น รหัสผ่านที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์, รหัสสำหรับใช้งานกระเป๋าคริปโตเคอร์เรนซี และข้อมูลส่วนบุคคลต่าง ๆ นอกจากนั้น ยังมีสิ่งที่ทำให้มัลแวร์ตัวนี้มีความพิเศษมากขึ้นไปอีก นั้นคือ ความสามารถในการหลบเลี่ยง (Bypass) เครื่องมือป้องกันภัยไซเบอร์ของ Apple อย่าง Gatekeeper ได้อย่างง่ายดาย นอกจากนั้นตัวมัลแวร์ยังไม่มีความจำเป็นต้องทำงานผ่านเครื่องมือ Terminal ทำให้ตัวมัลแวร์สามารถเข้าถึงตัวระบบแล้วแอบทำงานอย่างเงียบเชียบจนเหยื่อไม่รู้ตัว

แคมเปญการแพร่กระจายของตัวมัลแวร์ MacSync นั้นแฮกเกอร์จะทำการสอดไส้มัลแวร์ให้แฝงตัวอยู่ในแอปพลิเคชันที่ถูกเขียนขึ้นบนภาษา Swift ในรูปแบบมัลแวร์นกต่อ (Dropper) โดยมักจะปลอมกายเป็นแอปพลิเคชันยอดนิยม เช่น PDF Viewer ซึ่งภายในไฟล์นั้นจะมาพร้อมกับไฟล์หลอกในรูปแบบ PDF (PDF Decoy) เพื่อหันเหความสนใจของเหยื่อ นอกจากนั้นยังมีการใช้รหัสผู้พัฒนาแอปพลิเคชันของ Apple หรือ Apple Developer ID ของแท้ไว้บนไฟล์แอปพลิเคชันนี้ ทำให้ตัว Gatekeeper เข้าใจว่าตัวแอปพลิเคชันเป็นของแท้ ไม่มีอันตราย และด้วยการปลอมตัวเป็นแอปพลิเคชันของแท้นี้ ยังจะมีอานิสงค์ให้ตัวมัลแวร์สามารถหลบเลี่ยงการตรวจจับของเครื่องมือป้องกันอื่น ๆ อย่าง XProtect หรือ Malware Removal Tool ไปได้ในเวลาเดียวกัน เนื่องจากตัวระบบเชื่อว่าแอปพลิเคชันที่ใช้ ID ของแท้นั้นไม่มีภัย (ซึ่งภายหลังทาง Apple ก็ได้ทำการลบ Apple Developer ID ที่มีความเกี่ยวข้องกับมัลแวร์ตัวนี้ออกเป็นที่เรียบร้อยแล้ว)

หลังจากที่รันไฟล์ขึ้นมา ตัวมัลแวร์ก็จะทำการตรวจสอบเครือข่าย (Network) ก่อนว่าตัวมัลแวร์กำลังทำงานภายใต้สภาวะจำลอง (Sandbox) ซึ่งถ้าพบว่าทำงานอยู่ในสภาวะปกติ ตัวมัลแวร์ก็จะเริ่มรันสคริปท์เพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดมัลแวร์ตัวจริง (Payload) ลงมา โดยมัลแวร์ตัวจริงนอกจากจะมีความสามารถตามที่กล่าวไว้ข้างต้นแล้ว ยังมีความสามารถในการเปิดประตูหลังของระบบ (Backdoor) เพื่อใช้ในการติดต่อกับเซิร์ฟเวอร์ C2 และแอบส่งข้อมูลที่ขโมยมาได้กลับไปยังเซิร์ฟเวอร์ (Exfiltration) ด้วย นอกจากนั้น ด้วยการที่มัลแวร์ MacSync ถูกสร้างขึ้นให้ทำงานในรูปแบบโมดูล (Module) ทำให้มัลแวร์สามารถดาวน์โหลดโมดูลเสริมในการเพิ่มความสามารถใหม่ ๆ ให้กับมัลแวร์โดยหลีกเลี่ยงระบบตรวจจับไปในตัวได้ในเวลาเดียวกัน

ทาง Apple หลังจากที่ทราบถึงการมีอยู่ของมัลแวร์ดังกล่าว ก็ได้ทำการตรวจสอบพร้อมทั้งยกเลิก Apple Developer ID ที่เกี่ยวข้องกับมัลแวร์ดังกล่าวในทันที และได้ทำการอัปเดตลักษณะเฉพาะของมัลแวร์ (Signature) ให้กับ XProtect เพื่อช่วยในการตรวจจับมัลแวร์ดังกล่าว