สรุปสั้น

นักวิจัยด้านความปลอดภัยเปิดโปงมัลแวร์ขโมยข้อมูล (infostealer) ตัวใหม่บน macOS ชื่อ PamStealer ที่ใช้ลูกเล่นแยบยลหลายชั้นเพื่อเจาะระบบและดูดข้อมูลอ่อนไหว มัลแวร์นี้ถูกค้นพบโดย บริษัท Jamf Threat Labs และถูกแจกจ่ายในรูปไฟล์ AppleScript ที่คอมไพล์แล้ว (.scpt) โดยปลอมตัวเป็น Maccy ซึ่งเป็นโปรแกรมจัดการคลิปบอร์ดโอเพนซอร์สของแท้ ชื่อ PamStealer มาจากความสามารถในการตรวจสอบความถูกต้องของรหัสผ่านล็อกอินของเหยื่อผ่านโมดูล Pluggable Authentication Modules (PAM) ของ macOS ก่อนจะดักจับมันไป

มัลแวร์ทำงานสองขั้น ขั้นแรกเป็น AppleScript ที่คอมไพล์แล้ว แจกอยู่ในไฟล์ disk image เพื่อดาวน์โหลดและจัดเตรียมเพย์โหลดขั้นถัดไป ส่วนขั้นที่สองเป็น infostealer ที่เขียนด้วยภาษา Rust สามารถขโมยข้อมูลรับรอง เก็บข้อมูลเบราว์เซอร์ ฝังตัวถาวร และส่งข้อมูลออก จุดที่น่ากังวลคือสคริปต์นี้ทำงานได้แม้ไฟล์ยังติดแอตทริบิวต์ com.apple.quarantine ซึ่งเป็นสิ่งที่ทำให้วิธีนี้น่าสนใจสำหรับผู้โจมตี ในขณะที่ Apple พยายามรัดกุม Gatekeeper และ Terminal มากขึ้นเรื่อย ๆ เมื่อรวมกับเพย์โหลด Rust ขั้นที่สองและกระบวนการดักรหัสผ่านที่ตรวจสอบผ่าน PAM ในเครื่อง ผลลัพธ์คือห่วงโซ่การทำงานที่เงียบกว่ามัลแวร์ macOS ทั่วไปมาก

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 3 กรกฎาคม 2569 ว่า ช่องทางเข้าถึงเริ่มต้นของมัลแวร์คือเว็บไซต์เลียนแบบ “maccyapp[.]com” ที่ปลอมเป็นเว็บจริงของ Maccy (“maccy[.]app”) ไฟล์ AppleScript ชื่อ “Maccy.scpt” ที่อยู่ใน disk image จะรัน JavaScript for Automation (JXA) แบบสมบูรณ์ในตัวเพื่อดึงและจัดเตรียมเพย์โหลด stealer ผ่าน native Objective-C API สิ่งที่น่าสังเกตคือ เมื่อเปิดสคริปต์ผ่าน Script Editor มันจะแสดงคำแนะนำให้ผู้ใช้กดคีย์ลัด “⌘ + R” หรือคลิกปุ่ม Run ทำให้โค้ดอันตรายที่ซ่อนอยู่ใต้บล็อกบรรทัดว่างจำนวนมากในไฟล์ถูกเรียกทำงาน โดย นาย Thijs Xhaflaire นักวิจัยด้านความปลอดภัยระบุว่าวิธีนี้ทำงานได้แม้ไฟล์ยังติดแอตทริบิวต์ quarantine

AppleScript dropper มีคุณสมบัติที่รับรู้สภาพแวดล้อม โดยจะทำงานต่อเมื่อพิมพ์ลายนิ้วมือ (fingerprint) ของเครื่องและยืนยันว่ารันบน Apple Silicon เท่านั้น มันสร้างกุญแจจาก fingerprint ที่รวมรายละเอียดอย่างสถาปัตยกรรม CPU, locale, เลย์เอาต์คีย์บอร์ด และไทม์โซน แล้วใช้ปลดล็อกไฟล์ config ที่เข้ารหัสซึ่งบรรจุ URL ของเพย์โหลดและ path การติดตั้ง บนเครื่อง Mac ที่ใช้ชิป Intel กุญแจถอดรหัสจะต่างออกไปและถอด config ไม่ได้ ทำให้ dropper หยุดทำงาน นอกจากนี้สคริปต์ยังเลี่ยงการทำงานในสภาพแวดล้อม sandbox หรือเครื่องวิเคราะห์ รวมถึงระบบที่ไทม์โซน locale และคีย์บอร์ดชี้ไปยังประเทศในยุโรปตะวันออก เช่น รัสเซีย เบลารุส คาซัคสถาน อาร์เมเนีย และอีกหลายประเทศ

วิธีการโจมตี

เมื่อผ่านการตรวจสอบทั้งหมด สคริปต์จะติดต่อไปยังเซิร์ฟเวอร์ภายนอกและดาวน์โหลดไฟล์ไบนารี Mach-O ที่เขียนด้วย Rust ซึ่งปลอมตัวเป็นแอป Finder และทำหน้าที่เก็บเกี่ยวข้อมูลจากเว็บเบราว์เซอร์ ส่วนขยายกระเป๋าเงินคริปโต iCloud Keychain และเนื้อหาคลิปบอร์ด ข้อมูลที่ดักได้จะถูกเข้ารหัสและส่งออกไปยังโครงสร้างพื้นฐานของผู้โจมตี (“avenger-sync[.]live”) ผ่านคำขอ HTTP ขาออก นอกจากการหลอกให้ผู้ใช้ให้สิทธิ์เข้าถึงระบบไฟล์ทั้งหมดแล้ว stealer ยังแสดงหน้าต่างขอรหัสผ่านแบบเนทีฟเพื่อเก็บรหัสผ่านระบบของเหยื่อ แล้วตรวจสอบความถูกต้องผ่าน PAM API หากผิดจะขอให้กรอกใหม่วนไปจนกว่าจะได้รหัสที่ถูกต้อง

เมื่อได้รหัสผ่านที่ใช้งานได้แล้ว stealer จะแสดงข้อความปลอมชั้นที่สองว่า “Maccy is damaged and can’t be opened. You should move it to the Trash” ซึ่งเลียนแบบข้อความ Gatekeeper ของจริงอย่างใกล้เคียง เพื่อหลอกให้เหยื่อทิ้งไฟล์และเข้าใจว่าดาวน์โหลดเสีย ทั้งที่จริงเพย์โหลดได้ทำงาน ดักรหัสผ่าน และตั้ง persistence เรียบร้อยแล้ว ในไบนารี Rust ยังมี Mach-O ขนาดเล็กแบบ arm64 ที่ปลอมเป็น macOS System Settings เพื่อใช้ตั้งค่าการฝังตัวถาวร เหตุการณ์นี้ทำให้ นาย Alex Rodionov ผู้พัฒนา Maccy ต้องออกคำเตือนบนเว็บไซต์และ GitHub ให้ผู้ใช้ระวังเว็บปลอม โดยย้ำว่า maccy[.]app คือเว็บไซต์ทางการเพียงแห่งเดียว

ผลกระทบต่อไทย

ผู้ใช้ Mac ในไทยทั้งบุคคลทั่วไปและองค์กรอยู่ในกลุ่มเสี่ยงของแคมเปญนี้ เพราะ PamStealer เจาะจงเครื่อง Apple Silicon ซึ่งเป็นรุ่นที่ผู้ใช้ไทยนิยมใช้มากขึ้นเรื่อย ๆ และอาศัยการหลอกดาวน์โหลดซอฟต์แวร์โอเพนซอร์สยอดนิยมผ่านเว็บปลอมที่หน้าตาเหมือนของจริง กลวิธีที่ทำงานได้แม้ไฟล์ยังติด quarantine และการดักรหัสผ่านผ่าน PAM ทำให้มัลแวร์เงียบและตรวจจับยากกว่าปกติ เมื่อได้รหัสผ่านระบบและสิทธิ์เข้าถึงไฟล์ทั้งหมด ผู้โจมตีสามารถขโมยข้อมูลรับรอง กระเป๋าเงินคริปโต และข้อมูลใน iCloud Keychain ซึ่งอาจนำไปสู่การเข้าถึงบัญชีสำคัญอื่น ๆ ต่อได้ ที่น่าสังเกตคือมัลแวร์เลี่ยงเป้าหมายในยุโรปตะวันออก แต่ไม่ได้เว้นภูมิภาคเอเชีย จึงไม่ควรประมาท

คำแนะนำ

ผู้ใช้ควรดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการหรือ Mac App Store เท่านั้น และตรวจสอบชื่อโดเมนให้แน่ใจ (Maccy ของแท้คือ maccy.app ไม่ใช่ maccyapp.com หรือ maccyapp.net) ระวังไฟล์ .scpt หรือ AppleScript ที่แนะนำให้กด ⌘+R หรือปุ่ม Run ใน Script Editor เพราะเป็นวิธีเรียกโค้ดอันตรายที่ซ่อนใต้บรรทัดว่าง อย่ากรอกรหัสผ่านระบบให้กับหน้าต่างที่เด้งขึ้นมาจากแอปที่ไม่น่าเชื่อถือ และควรสงสัยข้อความแจ้ง “ไฟล์เสีย ให้ย้ายไป Trash” ที่โผล่หลังติดตั้ง เพราะอาจเป็นตัวลวง องค์กรควรใช้โซลูชัน endpoint security ที่ตรวจจับพฤติกรรมบน macOS เฝ้าระวังการเชื่อมต่อขาออกไปยังโดเมนต้องสงสัยอย่าง avenger-sync[.]live และหมั่นตรวจสอบ persistence ที่ปลอมเป็น System Settings หรือ Finder หากสงสัยว่าติดมัลแวร์ ควรเปลี่ยนรหัสผ่านสำคัญทั้งหมดจากเครื่องที่สะอาด

แหล่งอ้างอิง