สรุปสั้น

บริษัท SentinelOne ค้นพบมัลแวร์ชนิดใหม่ชื่อ Reaper ซึ่งเป็นสายพันธุ์ใหม่ของ SHub Infostealer ที่โจมตีผู้ใช้ macOS โดยเฉพาะ มัลแวร์สามารถหลบเลี่ยงการอัปเดตความปลอดภัยล่าสุดของ macOS Tahoe 26.4 ที่ Apple ออกมาเพื่อป้องกันการโจมตีประเภทนี้ การแพร่กระจายใช้เว็บไซต์ดาวน์โหลดปลอมของแอปพลิเคชันยอดนิยมอย่าง WeChat และ Miro ผ่านโดเมน Typosquatting ชื่อ mlcrosoft.co.com Reaper ขโมยข้อมูลจากเบราว์เซอร์หลัก 8 ตัว รวมถึง Password Manager อย่าง 1Password และ Cryptocurrency Wallet อย่าง MetaMask มัลแวร์ยังแทนที่แอปพลิเคชัน Cryptocurrency Wallet จริงด้วยเวอร์ชันปลอมเพื่อเฝ้าดูกิจกรรมในอนาคต Reaper ฝัง Backdoor ถาวรโดยสร้างโครงสร้างโฟลเดอร์ที่เลียนแบบ Google Software Update Path ติดต่อเซิร์ฟเวอร์ผู้โจมตีทุก 60 วินาที

รายละเอียดข่าว

เว็บไซต์ Hackread รายงานเมื่อวันที่ 18 พฤษภาคม พ.ศ. 2569 ว่า ทีมวิจัย SentinelLABS ของบริษัท SentinelOne ค้นพบมัลแวร์ชนิดใหม่ที่มุ่งเป้าโจมตีผู้ใช้ macOS ชื่อ Reaper ซึ่งเป็นสายพันธุ์ใหม่ของมัลแวร์ขโมยข้อมูลตระกูล SHub

แม้ว่า Apple จะออกอัปเดตความปลอดภัยสำหรับ macOS Tahoe 26.4 เพื่อป้องกันการโจมตีประเภทนี้ แต่นักวิจัยพบว่า Reaper สามารถหลบเลี่ยงมาตรการป้องกันดังกล่าวได้ ทำให้เป็นภัยคุกคามร้ายแรงสำหรับผู้ใช้ Mac

การโจมตีเริ่มต้นจากเว็บไซต์ดาวน์โหลดปลอมที่เลียนแบบแอปพลิเคชันยอดนิยมอย่าง WeChat และ Miro โดยใช้โดเมน Typosquatting ชื่อ mlcrosoft.co.com (สังเกตว่าใช้ตัว l แทน i) เมื่อผู้ใช้เข้าชมหน้าเว็บ JavaScript ที่ซ่อนอยู่จะตรวจสอบข้อมูลเครื่อง ซอฟต์แวร์ที่ติดตั้ง ที่อยู่ IP และเครื่องมือรักษาความปลอดภัย โดยจะดำเนินการโจมตีต่อเฉพาะเมื่อผู้ใช้ไม่ได้อยู่ในรัสเซีย

หลังจากนั้น ผู้ใช้จะถูกหลอกให้เปิด Script Editor ของ macOS ผ่าน URL Scheme พิเศษ โดยคำสั่งที่เป็นอันตรายถูกซ่อนด้วยบรรทัดว่างและ ASCII Art เพื่อไม่ให้เห็นบนหน้าจอ เมื่อคลิก Run จะแสดง Pop-up ปลอมว่าเป็นการอัปเดตความปลอดภัย XProtectRemediator ของ Apple แต่จริง ๆ แล้วเป็นการดาวน์โหลดมัลแวร์ผ่านเครื่องมือ curl

วิธีการโจมตี

เมื่อผ่านขั้นตอนแรกสำเร็จ Reaper จะแสดง Pop-up ขอรหัสผ่านเข้าสู่ระบบของเครื่อง ซึ่งเป็นขั้นตอนสำคัญในการโจมตี หากได้รหัสผ่านแล้ว มัลแวร์จะเริ่มถอดรหัสและขโมยข้อมูลที่บันทึกไว้จากเบราว์เซอร์หลักถึง 8 ตัว ได้แก่ Firefox, Chrome, Edge, Brave, Opera, Vivaldi, Arc และ Orion รวมถึงเจาะ Password Manager อย่าง 1Password และ Cryptocurrency Wallet อย่าง MetaMask

Reaper ยังมีฟีเจอร์ขโมยเอกสาร โดยค้นหาไฟล์การเงินหรือไฟล์ธุรกิจขนาดไม่เกิน 2MB และรูปภาพขนาด 6MB ถึง 150MB จากโฟลเดอร์ Desktop และ Documents หากไฟล์ที่ขโมยมามีขนาดใหญ่เกินไป มัลแวร์จะแบ่งไฟล์ออกเป็นชิ้นขนาด 70MB แล้วบีบอัดก่อนส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี

นอกจากนี้ Reaper ยังแทนที่แอปพลิเคชัน Cryptocurrency Wallet จริงด้วยเวอร์ชันปลอมเพื่อเฝ้าดูกิจกรรมในอนาคต และฝัง Backdoor ถาวรโดยสร้างโครงสร้างโฟลเดอร์ที่เลียนแบบ Google Software Update Path โดยทุก 60 วินาทีจะติดต่อกลับไปยังเซิร์ฟเวอร์ผู้โจมตีเพื่อรับคำสั่งเพิ่มเติม

ผลกระทบต่อไทย

ผู้ใช้ macOS ในประเทศไทยมีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะในกลุ่มนักพัฒนาซอฟต์แวร์ นักออกแบบ และผู้ประกอบการด้านเทคโนโลยี การที่ Reaper สามารถหลบเลี่ยงมาตรการป้องกันล่าสุดของ macOS ได้ หมายความว่าแม้ผู้ใช้จะอัปเดตระบบปฏิบัติการเป็นเวอร์ชันล่าสุดแล้วก็ยังมีความเสี่ยง

ความสามารถในการขโมยข้อมูลจาก Cryptocurrency Wallet เป็นอันตรายอย่างยิ่งสำหรับนักลงทุนคริปโตในไทยซึ่งมีจำนวนมาก การที่มัลแวร์แทนที่แอปพลิเคชัน Wallet จริงด้วยเวอร์ชันปลอมทำให้ผู้ใช้อาจถูกขโมยสินทรัพย์ดิจิทัลโดยไม่รู้ตัวในระยะยาว

คำแนะนำ

  • หากมี Link บังคับให้เปิด Script Editor ของ macOS ให้ปิดทิ้งทันที อย่าคลิก Run เด็ดขาด
  • หลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันจากเว็บไซต์ที่ไม่เป็นทางการ ตรวจสอบ URL ให้ดีก่อนดาวน์โหลดเสมอ โดยเฉพาะโดเมนที่มีตัวอักษรคล้ายกัน
  • อัปเดต macOS เป็นเวอร์ชันล่าสุดและเปิดใช้งาน XProtect ให้เป็นปัจจุบัน แม้ว่า Reaper จะหลบเลี่ยงได้บางส่วน แต่ยังช่วยป้องกันมัลแวร์ตัวอื่นได้
  • ตรวจสอบว่ามีโฟลเดอร์หรือ Process ที่น่าสงสัยในเครื่อง โดยเฉพาะโครงสร้าง persistence ใน ~/Library
  • ตรวจสอบแอป Cryptocurrency Wallet ว่าเป็นเวอร์ชันจาก App Store จริง

แหล่งอ้างอิง