สรุปสั้น

บริษัท Moonlock ค้นพบมัลแวร์ SHub Stealer สายพันธุ์ใหม่ที่ตั้งชื่อว่า Reaper มุ่งเป้าผู้ใช้ macOS โดยใช้เทคนิค ClickFix อัตโนมัติที่เปิด Script Editor ของ macOS พร้อมโค้ดอันตรายที่โหลดมาล่วงหน้า ผู้ใช้เพียงแค่คลิกปุ่มเดียวก็เปิดใช้การโจมตีได้ทันที นับเป็นการอัตโนมัติ ClickFix ครั้งที่สามในรอบไม่ถึงสองเดือนที่พบในแคมเปญมัลแวร์ macOS แยกกัน

มัลแวร์ Reaper ขยายขีดความสามารถเหนือเวอร์ชันก่อนหน้า ครอบคลุมเบราว์เซอร์ 8 ยี่ห้อ ได้แก่ Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc และ Orion รวมถึงกระเป๋าคริปโตเดสก์ท็อป Exodus, Atomic, Ledger Live, Electrum และ Trezor Suite ก่อนส่งข้อมูลที่ขโมยผ่าน curl และฝัง backdoor ปลอมตัวเป็น Google Update Service เพื่อความคงทน

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 โดยอ้างอิงรายงานจากบริษัท Moonlock ว่า SHub Stealer ได้พัฒนามัลแวร์สายพันธุ์ใหม่ชื่อ Reaper ที่ทำให้กระบวนการโจมตีเป็นแบบอัตโนมัติมากยิ่งขึ้น ต่างจากเทคนิคเดิมที่บังคับให้ผู้ใช้คัดลอกและวางโค้ดลงใน Terminal ด้วยตนเอง

มัลแวร์ Reaper ใช้หน้าเว็บปลอมเพื่อเปิด Script Editor ของ macOS โดยอัตโนมัติพร้อมโค้ดอันตรายที่เตรียมไว้แล้ว ผู้ใช้ที่คลิกปุ่ม “Play” บนหน้าจอที่ดูเหมือนซอฟต์แวร์ถูกกฎหมายก็จะเป็นการเปิดใช้การติดมัลแวร์ทันที Moonlock ระบุว่านี่คือครั้งที่สามในช่วงไม่ถึงสองเดือนที่ผ่านมาที่พบเทคนิค ClickFix แบบอัตโนมัติในแคมเปญมัลแวร์ macOS แยกกัน สะท้อนให้เห็นว่าผู้โจมตีในระบบนิเวศ macOS มักคัดลอกกลยุทธ์ที่ได้ผลจากกันและกัน

SHub Reaper macOS stealer ClickFix Script Editor crypto wallet
SHub Reaper macOS stealer ClickFix Script Editor crypto wallet

รายละเอียดช่องโหว่

แคมเปญ Reaper ใช้เว็บไซต์ที่ปลอมตัวเป็น Apple security update, WeChat และ SentinelOne เพื่อดึงดูดเหยื่อ เมื่อเหยื่อเข้าถึงหน้าปลอม หน้าเว็บจะเปิด Script Editor อัตโนมัติพร้อมโค้ด AppleScript ที่โหลดมาจากเซิร์ฟเวอร์ของผู้โจมตี โค้ดนี้จะดาวน์โหลด payload ตัวจริงจากโดเมน mlcrosoft[.]co[.]com (เลียนแบบ Microsoft) โดย payload มีความสามารถสูง: ขโมยข้อมูลจาก macOS Keychain, iCloud, Telegram, เบราว์เซอร์ 8 ยี่ห้อพร้อม extension และ cookie ที่เก็บไว้ สำหรับกระเป๋าคริปโต Reaper ไม่ได้ติดตั้งแอปปลอม แต่แก้ไข code ของแอปกระเป๋าที่ติดตั้งอยู่แล้วในเครื่องโดยตรงเพื่อขโมยเงิน หลังขโมยข้อมูลครบ Reaper รวมข้อมูลและส่งออกผ่าน curl ไปยัง C2 server จากนั้นติดตั้ง backdoor ปลอมตัวเป็น com.google.keystone.agent.plist LaunchAgent เพื่อให้รอดได้หลัง reboot

ผลกระทบต่อไทย

ผู้ใช้ Mac ในไทยที่ดาวน์โหลดซอฟต์แวร์นอก App Store เช่น WeChat หรือเครื่องมือ security ตกอยู่ในความเสี่ยงโดยตรง เทคนิค ClickFix อัตโนมัติยากที่จะสังเกตเห็นเพราะหน้าเว็บปลอมออกแบบมาให้ดูน่าเชื่อถือมาก นักพัฒนาและนักลงทุนคริปโตที่ใช้ Mac มีความเสี่ยงสูงกว่ากลุ่มอื่น เนื่องจาก Reaper ยังมี Filegrabber ที่ค้นหาไฟล์ .wallet, .key และ .json ในโฟลเดอร์ Desktop และ Documents โดยเฉพาะ ความเสียหายจากกระเป๋าคริปโตที่ถูกแก้ไข code ไม่สามารถกู้คืนได้หลังส่งธุรกรรม

คำแนะนำ

ดาวน์โหลดซอฟต์แวร์บน macOS จาก App Store หรือเว็บไซต์ทางการของผู้พัฒนาโดยตรงเท่านั้น หากหน้าเว็บใดเปิด Script Editor หรือ Terminal โดยอัตโนมัติและขอให้คลิก “Play” หรือ “Run” ให้ปิดทันทีโดยไม่ต้องทำอะไรเพิ่มเติม ตรวจสอบ LaunchAgents ใน ~/Library/LaunchAgents/ เพื่อหาไฟล์ที่เกี่ยวกับ Google ที่ไม่ได้ติดตั้งเอง สำหรับผู้ถือคริปโต แนะนำให้ย้ายสินทรัพย์ไปยัง hardware wallet หรืออุปกรณ์แยกต่างหากที่ไม่ใช้สำหรับงานประจำ อัปเดต macOS และซอฟต์แวร์ security เป็นประจำ

IoCs

ประเภทค่าคำอธิบาย
Domainmlcrosoft[.]co[.]comโดเมนปลอมเลียนแบบ Microsoft ใช้โฮสต์ malware payload
URLsupport.apple[.]com/downloads/xprotect-remediator-150.dmgลิงก์ดาวน์โหลด Apple security update ปลอม
URLhebsbsbzjsjshduxbs[.]xyz/gate/chunkC2 server endpoint สำหรับรับข้อมูลที่ขโมยมา
File Path~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/ไดเรกทอรีที่ Reaper ซ่อน backdoor
File NameGoogleUpdatebash script เข้ารหัส Base64 สำหรับ backdoor
LaunchAgentcom.google.keystone.agent.plistใช้ลงทะเบียน backdoor ให้ทำงานต่อเนื่อง

แหล่งอ้างอิง