สรุปสั้น
บริษัท Moonlock ค้นพบมัลแวร์ SHub Stealer สายพันธุ์ใหม่ที่ตั้งชื่อว่า Reaper มุ่งเป้าผู้ใช้ macOS โดยใช้เทคนิค ClickFix อัตโนมัติที่เปิด Script Editor ของ macOS พร้อมโค้ดอันตรายที่โหลดมาล่วงหน้า ผู้ใช้เพียงแค่คลิกปุ่มเดียวก็เปิดใช้การโจมตีได้ทันที นับเป็นการอัตโนมัติ ClickFix ครั้งที่สามในรอบไม่ถึงสองเดือนที่พบในแคมเปญมัลแวร์ macOS แยกกัน
มัลแวร์ Reaper ขยายขีดความสามารถเหนือเวอร์ชันก่อนหน้า ครอบคลุมเบราว์เซอร์ 8 ยี่ห้อ ได้แก่ Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc และ Orion รวมถึงกระเป๋าคริปโตเดสก์ท็อป Exodus, Atomic, Ledger Live, Electrum และ Trezor Suite ก่อนส่งข้อมูลที่ขโมยผ่าน curl และฝัง backdoor ปลอมตัวเป็น Google Update Service เพื่อความคงทน
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 โดยอ้างอิงรายงานจากบริษัท Moonlock ว่า SHub Stealer ได้พัฒนามัลแวร์สายพันธุ์ใหม่ชื่อ Reaper ที่ทำให้กระบวนการโจมตีเป็นแบบอัตโนมัติมากยิ่งขึ้น ต่างจากเทคนิคเดิมที่บังคับให้ผู้ใช้คัดลอกและวางโค้ดลงใน Terminal ด้วยตนเอง
มัลแวร์ Reaper ใช้หน้าเว็บปลอมเพื่อเปิด Script Editor ของ macOS โดยอัตโนมัติพร้อมโค้ดอันตรายที่เตรียมไว้แล้ว ผู้ใช้ที่คลิกปุ่ม “Play” บนหน้าจอที่ดูเหมือนซอฟต์แวร์ถูกกฎหมายก็จะเป็นการเปิดใช้การติดมัลแวร์ทันที Moonlock ระบุว่านี่คือครั้งที่สามในช่วงไม่ถึงสองเดือนที่ผ่านมาที่พบเทคนิค ClickFix แบบอัตโนมัติในแคมเปญมัลแวร์ macOS แยกกัน สะท้อนให้เห็นว่าผู้โจมตีในระบบนิเวศ macOS มักคัดลอกกลยุทธ์ที่ได้ผลจากกันและกัน


รายละเอียดช่องโหว่
แคมเปญ Reaper ใช้เว็บไซต์ที่ปลอมตัวเป็น Apple security update, WeChat และ SentinelOne เพื่อดึงดูดเหยื่อ เมื่อเหยื่อเข้าถึงหน้าปลอม หน้าเว็บจะเปิด Script Editor อัตโนมัติพร้อมโค้ด AppleScript ที่โหลดมาจากเซิร์ฟเวอร์ของผู้โจมตี โค้ดนี้จะดาวน์โหลด payload ตัวจริงจากโดเมน mlcrosoft[.]co[.]com (เลียนแบบ Microsoft) โดย payload มีความสามารถสูง: ขโมยข้อมูลจาก macOS Keychain, iCloud, Telegram, เบราว์เซอร์ 8 ยี่ห้อพร้อม extension และ cookie ที่เก็บไว้ สำหรับกระเป๋าคริปโต Reaper ไม่ได้ติดตั้งแอปปลอม แต่แก้ไข code ของแอปกระเป๋าที่ติดตั้งอยู่แล้วในเครื่องโดยตรงเพื่อขโมยเงิน หลังขโมยข้อมูลครบ Reaper รวมข้อมูลและส่งออกผ่าน curl ไปยัง C2 server จากนั้นติดตั้ง backdoor ปลอมตัวเป็น com.google.keystone.agent.plist LaunchAgent เพื่อให้รอดได้หลัง reboot
ผลกระทบต่อไทย
ผู้ใช้ Mac ในไทยที่ดาวน์โหลดซอฟต์แวร์นอก App Store เช่น WeChat หรือเครื่องมือ security ตกอยู่ในความเสี่ยงโดยตรง เทคนิค ClickFix อัตโนมัติยากที่จะสังเกตเห็นเพราะหน้าเว็บปลอมออกแบบมาให้ดูน่าเชื่อถือมาก นักพัฒนาและนักลงทุนคริปโตที่ใช้ Mac มีความเสี่ยงสูงกว่ากลุ่มอื่น เนื่องจาก Reaper ยังมี Filegrabber ที่ค้นหาไฟล์ .wallet, .key และ .json ในโฟลเดอร์ Desktop และ Documents โดยเฉพาะ ความเสียหายจากกระเป๋าคริปโตที่ถูกแก้ไข code ไม่สามารถกู้คืนได้หลังส่งธุรกรรม
คำแนะนำ
ดาวน์โหลดซอฟต์แวร์บน macOS จาก App Store หรือเว็บไซต์ทางการของผู้พัฒนาโดยตรงเท่านั้น หากหน้าเว็บใดเปิด Script Editor หรือ Terminal โดยอัตโนมัติและขอให้คลิก “Play” หรือ “Run” ให้ปิดทันทีโดยไม่ต้องทำอะไรเพิ่มเติม ตรวจสอบ LaunchAgents ใน ~/Library/LaunchAgents/ เพื่อหาไฟล์ที่เกี่ยวกับ Google ที่ไม่ได้ติดตั้งเอง สำหรับผู้ถือคริปโต แนะนำให้ย้ายสินทรัพย์ไปยัง hardware wallet หรืออุปกรณ์แยกต่างหากที่ไม่ใช้สำหรับงานประจำ อัปเดต macOS และซอฟต์แวร์ security เป็นประจำ
IoCs
| ประเภท | ค่า | คำอธิบาย |
|---|---|---|
| Domain | mlcrosoft[.]co[.]com | โดเมนปลอมเลียนแบบ Microsoft ใช้โฮสต์ malware payload |
| URL | support.apple[.]com/downloads/xprotect-remediator-150.dmg | ลิงก์ดาวน์โหลด Apple security update ปลอม |
| URL | hebsbsbzjsjshduxbs[.]xyz/gate/chunk | C2 server endpoint สำหรับรับข้อมูลที่ขโมยมา |
| File Path | ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/ | ไดเรกทอรีที่ Reaper ซ่อน backdoor |
| File Name | GoogleUpdate | bash script เข้ารหัส Base64 สำหรับ backdoor |
| LaunchAgent | com.google.keystone.agent.plist | ใช้ลงทะเบียน backdoor ให้ทำงานต่อเนื่อง |
