ระวังแอป LastPass ปลอม เล็งผู้ใช้งาน macOS เพื่อปล่อยมัลแวร์ AMOS ใส่เครื่อง

แอปพลิเคชันประเภทจัดการรหัสผ่าน หรือ Password Manager ที่โด่งดังคงจะหนีไม่พ้น LastPass ที่เป็นที่นิยมในกลุ่มบริษัทต่าง ๆ มาเป็นเวลานานนับสิบปี และด้วยชื่อเสียงของแอปตัวนี้ทำให้แฮกเกอร์ได้นำเอามาใช้ประโยชน์ด้วยการแอบอ้างชื่อเพื่อแพร่กระจายมัลแวร์ AMOS ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ยอดนิยมที่เพ่งเล็งไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS โดยเฉพาะ

ทางเว็บไซต์ Bleeping Computer ได้รายงานถึงการตรวจพบการระบาดของแอปพลิเคชัน LastPass ปลอมเพื่อแพร่กระจายมัลแวร์ Amos เวอร์ชันใหม่ที่มีการเพิ่มความสามารถในการทำงานในระบบได้อย่างล่องหน (Stealth) ทั้งยังสามารถเปิดประตูหลัง ซึ่งเผยแพร่ผ่านทางเว็บไซต์ปลอมด้วยการใช้วิธี SEO (Search Engine Optimization) บน Search Engine ชื่อดังอย่าง Google และ Bing หลอกล่อให้เหยื่อเข้าเว็บไซต์ผิด ซึ่งเว็บไซต์ปลอมเหล่านี้จะใช้งานแพลตฟอร์มที่มีความน่าเชื่อถือสูงอย่างคลังดิจิตอล (Repo หรือ Repository) ของทาง GitHub เป็นหน้าเว็บไซต์และแหล่งฝากไฟล์

ภาพจาก : https://www.bleepingcomputer.com/news/security/lastpass-fake-password-managers-infect-mac-users-with-malware/

นอกจากเทคนิคเว็บปลอมแล้ว แคมเปญนี้ยังมีการนำเอาวิธีการ ClickFix เข้ามาร่วมด้วย โดยหลังจากที่เหยื่อหลงเชื่อกดดาวน์โหลดแล้ว จะไม่เป็นการดาวน์โหลดไฟล์ติดตั้งในทันที (เพราะอาจถูกตรวจจับได้ด้วยระบบป้องกัน) แต่จะเป็นการพาเหยื่อไปยังเว็บไซต์ปลอมที่ทำหน้าเพจเลียนแบบเว็บไซต์ของ GitHub ที่มีคำสั่งบนหน้าจอให้นำเอาคำสั่งบนหน้าจอ ไปแปะใส่ที่แอปพลิเคชัน Terminal เพื่อรันในการติดตั้ง ซึ่งวิธีการดังกล่าวนั้นจะเป็นการหลอกผู้ที่ไม่มีความรู้ในเชิงระบบให้ทำการติดตั้งมัลแวร์ดังกล่าวลงสู่เครื่อง ซึ่งคำสั่งหลังจากถูกรันขึ้นมา ก็จะเป็นการส่ง Curl Request ไปยัง URL ลับที่ถูกเข้ารหัสในรูปแบบ Base-64 เอาไปเพื่อดาวน์โหลดมัลแวร์ AMOS ลงมาติดบนเครื่องของเหยื่อ

นอกจาก LastPass ที่ถูกแอบอ้างชื่อในแคมเปญนี้แล้ว ทางแหล่งข่าวยังระบุอีกว่ายังมีแอปถูกแอบอ้างชื่อในแคมเปญการแพร่กระจายมัลแวร์นี้ด้วยอีกเป็นจำนวนมาก ไม่ว่าจะเป็น 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird, SentinelOne และแอปอื่น ๆ ที่ไม่ได้อยู่บนรายชื่อนี้อีกนับร้อยแอปพลิเคชัน นอกจากนั้นยังมีรายงานอีกว่า ถึงแม้หน้าเพจปลอมจะถูกลบไปเป็นจำนวนมากแล้ว กลับมีการ “งอก” กลับมาใหม่อยู่เรื่อย ๆ ดังนั้นขอให้ผู้อ่านมีความระมัดระวังในการเข้าเว็บไซต์ดาวน์โหลดแอปพลิเคชันต่าง ๆ อย่างยิ่งยวด

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv