สรุปสั้น

นักวิจัยจากบริษัท CyberProof เปิดเผยรายละเอียดใหม่ของแคมเปญมัลแวร์ Amos Stealer ที่เล็งเป้าคอมพิวเตอร์ Apple Mac เพื่อขโมยข้อมูลส่วนตัว แม้ Amos Stealer จะไม่ใช่มัลแวร์ใหม่ แต่ในแคมเปญล่าสุดมิจฉาชีพแพร่กระจายมัลแวร์ผ่านซอฟต์แวร์ปลอมให้ดาวน์โหลด เว็บไซต์ปลอม และ social engineering เมื่อเข้าสู่ระบบ Mac ได้แล้ว มัลแวร์จะค้นหาไฟล์ที่มีค่าทั่วทั้ง system directories เก็บรหัสผ่านที่บันทึกไว้ session cookie และข้อมูล autofill จากเบราว์เซอร์ Google Chrome และ Microsoft Edge

เทคนิคที่น่าสนใจคือการใช้ curl ซึ่งเป็น utility ในตัวของ macOS พร้อม flag -fsSL เพื่อดาวน์โหลดไฟล์อันตรายแบบเงียบเชียบโดยไม่แสดง error หรือ progress bar มัลแวร์ยังคัดลอกไฟล์ฐานข้อมูล Keychain ชื่อ login.keychain-db เพื่อเข้าถึงข้อมูลล็อกอินขององค์กร ค้นหาไฟล์ configuration ของนักพัฒนาเช่น .kube, .ssh, .zshrc และ .gitconfig จากนั้นใช้เครื่องมือ ditto บีบอัดข้อมูลที่ขโมยมาเป็นไฟล์ zip ส่งออกผ่าน HTTP PUT ไปยังเซิร์ฟเวอร์ของผู้โจมตี พร้อม retry สูงสุด 8 ครั้ง แล้วลบร่องรอยทั้งหมดหลังส่งสำเร็จ

รายละเอียดข่าว

เว็บไซต์ HackRead รายงานเมื่อวันที่ 16 มิถุนายน พ.ศ. 2569 ว่าบริษัท CyberProof ได้เผยแพร่รายละเอียดใหม่ของมัลแวร์ Amos Stealer ซึ่งเป็น information-stealing malware ที่เล็งเป้าคอมพิวเตอร์ Apple Mac โดยกลุ่มภัยคุกคามกำลังใช้มัลแวร์ตระกูลนี้ดำเนินแคมเปญที่มุ่งหวังผลทางการเงินจากการ compromise สภาพแวดล้อม macOS

ในแคมเปญล่าสุด มิจฉาชีพแพร่กระจาย infostealer ผ่านซอฟต์แวร์หลอกให้ดาวน์โหลด เว็บไซต์ปลอม และกลยุทธ์ social engineering เมื่อมัลแวร์เข้าสู่ Mac ได้แล้ว จะค้นหาไฟล์ที่มีค่าทั่วทั้ง system directories เก็บรหัสผ่านที่บันทึกไว้ session cookie และข้อมูล autofill จากเบราว์เซอร์ Google Chrome และ Microsoft Edge

นักวิจัยพบว่าผู้ดำเนินการมัลแวร์ใช้ curl ซึ่งเป็น utility ในตัวของ macOS สำหรับดาวน์โหลดไฟล์อันตรายแบบเงียบเชียบ ระหว่างการสอบสวนเหตุการณ์ threat hunting query ตรวจจับคำสั่ง curl ที่ผิดปกติ โดยแฮ็กเกอร์ใช้ flag -fsSL เพื่อปิด error alert ปิด download progress bar และทำให้สคริปต์ทำงานอย่างเงียบเชียบ เมื่อสคริปต์ถูกดาวน์โหลดแล้ว จะเรียก AppleScript command ผ่าน zsh terminal shell เพื่อเริ่มเก็บข้อมูลโดยอัตโนมัติ

มัลแวร์คัดลอกไฟล์ฐานข้อมูล macOS Keychain ชื่อ login.keychain-db เพื่อเข้าถึงข้อมูลล็อกอินขององค์กรที่บันทึกไว้ นอกจากนี้ยังค้นหาไฟล์ configuration ที่เป็นความลับของนักพัฒนาใน home path ได้แก่ .kube, .ssh, .zshrc และ .gitconfig เพื่อเตรียมข้อมูลสำหรับส่งออก มัลแวร์ใช้ ditto ซึ่งเป็นเครื่องมือ macOS ดั้งเดิมในการบีบอัดไฟล์ที่ขโมยมาเป็นไฟล์เดียวชื่อ osalogging.zip ในโฟลเดอร์ /tmp จากนั้นแบ่งไฟล์เป็นชิ้นขนาด 10 MB และสร้าง session ID เฉพาะสำหรับการอัปโหลดโดยผสม timestamp ปัจจุบันกับ random hexadecimal string จาก OpenSSL

Amos Stealer ส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี (bestbuydomain.com) ด้วย HTTP PUT request ผ่าน curl โดยมีระบบ retry สูงสุด 8 ครั้งสำหรับการอัปโหลดที่ล้มเหลว หลังจากอัปโหลดสำเร็จ มัลแวร์รันคำสั่งลบร่องรอย (rm -f /tmp/osalogging.zip และ rm -rf /tmp/sync) เพื่อลบร่องรอยทั้งหมด บริษัท CyberProof แนะนำให้องค์กรบังคับใช้นโยบาย Gatekeeper อย่างเข้มงวดและตรวจสอบ endpoint สำหรับคำสั่ง curl ที่ผิดปกติ

วิธีการโจมตี

chain การโจมตีของ Amos Stealer เริ่มจากการหลอกให้เหยื่อดาวน์โหลดซอฟต์แวร์ปลอมหรือเข้าเว็บไซต์ปลอม จากนั้นใช้ curl พร้อม flag -fsSL ดาวน์โหลด script อันตรายแบบเงียบเชียบ script เรียก AppleScript ผ่าน zsh เริ่มเก็บข้อมูล:

ข้อมูลที่ถูกขโมยครอบคลุม Keychain database (login.keychain-db) ที่เก็บรหัสผ่านทั้งหมด, รหัสผ่านและ cookie จาก Chrome และ Edge, ไฟล์ configuration ของนักพัฒนา (.kube, .ssh, .zshrc, .gitconfig) จากนั้นใช้ ditto บีบอัดทั้งหมดเป็น osalogging.zip ใน /tmp แบ่งเป็นชิ้น 10 MB สร้าง session ID เฉพาะ ส่งออกผ่าน HTTP PUT ไปยัง bestbuydomain.com พร้อม retry สูงสุด 8 ครั้ง แล้วลบร่องรอยทุกอย่างด้วยคำสั่ง rm

ผลกระทบต่อไทย

ผู้ใช้ macOS ในประเทศไทยมีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะในกลุ่มนักพัฒนาซอฟต์แวร์และผู้ใช้ในภาคธุรกิจ ความเข้าใจผิดที่ว่า macOS ไม่มีมัลแวร์ทำให้ผู้ใช้หลายคนไม่ระมัดระวังเพียงพอ การที่ Amos Stealer เล็งเป้าไฟล์ .ssh, .kube และ .gitconfig เป็นอันตรายเป็นพิเศษสำหรับนักพัฒนาไทยที่ใช้ Mac เป็นเครื่องมือหลัก เพราะข้อมูลเหล่านี้สามารถใช้เข้าถึงเซิร์ฟเวอร์ production, Kubernetes cluster และ repository ขององค์กรได้โดยตรง

คำแนะนำ

ผู้ใช้ macOS ควรเปิดใช้ Gatekeeper และไม่ดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่เชื่อถือ ระวังการติดตั้งแอปที่ขอให้ปิด Gatekeeper หรือรันคำสั่ง terminal นักพัฒนาควรตรวจสอบว่าไฟล์ .ssh/authorized_keys และ .gitconfig ไม่ถูกแก้ไข และพิจารณาใช้ hardware security key สำหรับ SSH แทน key file ธรรมดา ทีม SOC ควร monitor คำสั่ง curl ที่มี flag -fsSL ที่ดาวน์โหลดจาก URL ที่ไม่รู้จัก การสร้างไฟล์ zip ใน /tmp ที่มีชื่อผิดปกติ และ HTTP PUT request ไปยังโดเมนที่ไม่คุ้นเคย

แหล่งอ้างอิง