สรุปสั้น
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ได้แจ้งเตือนมัลแวร์ขโมยข้อมูล (Information Stealer) ตัวใหม่บน macOS ที่ชื่อว่า CrashStealer ซึ่งมีความสามารถในการเก็บเกี่ยวข้อมูลอ่อนไหวจากระบบที่ถูกเจาะ ต่างจาก stealer ตัวอื่นที่สร้างบนพื้นฐานของ AppleScript dropper หรือตัวห่อหุ้ม (Wrapper) แบบ Objective-C ตรงที่ CrashStealer ถูกพัฒนาด้วยภาษา C++ แบบเนทีฟ ตามรายงานของ Jamf Threat Labs โดยนาย Thijs Xhaflaire นักวิจัยด้านความปลอดภัยระบุว่ามัลแวร์นี้ตรวจสอบรหัสผ่านล็อกอินของเหยื่อในเครื่อง (Locally) ก่อนเริ่มขโมยข้อมูล เก็บเกี่ยวอย่างกว้างขวางทั้งจากเบราว์เซอร์ กระเป๋าคริปโทเคอร์เรนซี ตัวจัดการรหัสผ่าน (Password Manager) และ Keychain เข้ารหัสสิ่งที่เก็บมาด้วย AES-GCM ก่อนส่งออกผ่าน libcurl แล้วฝังตัวด้วยการคัดลอกและเซ็นชื่อตัวเองใหม่
CrashStealer ถูกแพร่กระจายผ่าน dropper ที่เซ็นชื่อและผ่านการรับรอง (Notarize) จาก Apple โดยกระจายเป็นไฟล์ดิสก์อิมเมจชื่อ “Werkbit.app” เนื่องจากทั้งดิสก์อิมเมจและไบนารีต่างผ่านการ Notarize และมี Developer ID ที่ถูกต้อง (“Emil Grigorov (WWB7JA7AQV)”) จึงผ่านการตรวจสอบของ Gatekeeper ได้ ดิสก์อิมเมจนี้มาจากโดเมน “werkbit[.]io” ที่จดทะเบียนเมื่อเดือนมิถุนายน 2026 และที่น่าสนใจคือการดาวน์โหลดถูกจำกัดด้วย PIN ประชุม (Meeting PIN) หมายความว่าตัวติดตั้งจะถูกส่งเฉพาะให้ผู้เข้าชมเว็บที่มารหัสถูกต้องเท่านั้น ไม่ใช่ทุกคน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่าการค้นพบโดเมนเพิ่มเติมและโครงสร้างพื้นฐานเบื้องหลังที่ใช้ร่วมกันซึ่งเชื่อมโยงกับปฏิบัติการเดียวกัน บ่งชี้ว่า CrashStealer เป็นส่วนหนึ่งของแคมเปญขนาดใหญ่ที่ครอบคลุมหลายแพลตฟอร์ม เมื่อดิสก์อิมเมจถูกเมานต์ มันจะแสดงหน้าจอตั้งค่าการติดตั้งที่สั่งให้ผู้ใช้คลิกขวาที่แอปแล้วเลือก “Open” เพื่อหลอกให้รันมัน เมื่อถูกเปิดขึ้น ไฟล์ปฏิบัติการ “veltod” จะติดต่อไปยัง repository บน GitHub (“github.com/mgothiclove”) เพื่อดึงไฟล์ชื่อ “sys.cache”
ไฟล์ดังกล่าวจะถูกใช้แยกคำสั่ง curl ออกมาและดึงสคริปต์เชลล์ ซึ่งทำหน้าที่เป็นตัวดาวน์โหลดเพื่อดึงและเตรียมเพย์โหลดถัดไป (“CrashReporter.dmg”) แล้วบันทึกไว้ในไดเรกทอรี “/tmp” เมื่อทำงาน มัลแวร์จะสร้างการฝังตัวถาวรในรูปแบบ LaunchAgent ต้านทานการวิเคราะห์ แสดงหน้าต่างขอรหัสผ่านและตรวจสอบรหัสที่ป้อนในเครื่อง ปลดล็อก Login Keychain ด้วยรหัสผ่านที่ตรวจสอบแล้ว แจกแจงรายการเครื่องมือด้านความปลอดภัยและการวิเคราะห์ที่ติดตั้งอยู่ ก่อนดำเนินการเก็บข้อมูลเบราว์เซอร์ ส่วนขยายกระเป๋าคริปโต ข้อมูลตัวจัดการรหัสผ่าน และวัสดุใน Keychain
ข้อมูลที่ถูกเก็บเกี่ยวจะถูกบรรจุลงในไฟล์บีบอัด ZIP แล้วส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม (“179.43.166[.]242”) ทาง Jamf ระบุว่าห่วงโซ่การส่งมอบของ CrashStealer แสดงให้เห็นความใส่ใจอย่างแท้จริง แทนที่จะใช้เหยื่อล่อแบบเปล่า ๆ ที่ไม่ได้เซ็นชื่อ ผู้ปฏิบัติการกลับนำ dropper ที่เซ็นชื่อและ Notarize มาเป็นด่านหน้าเพื่อผ่าน Gatekeeper ก่อนจะแอบดึง เซ็นชื่อใหม่ และเปิดเพย์โหลดอย่างเงียบ ๆ
รายละเอียดมัลแวร์
สิ่งที่ทำให้ CrashStealer แตกต่างจากมัลแวร์ขโมยข้อมูลทั่วไปไม่ใช่สิ่งที่มันเก็บ แต่เป็นวิธีการสร้าง โดยมีการเข้ารหัสไฟล์ที่เก็บมาด้วย AES-GCM ที่ฝั่งไคลเอนต์ และให้ความสำคัญกับการต้านทานการวิเคราะห์ผ่านเทคนิค Control-Flow Flattening การเข้ารหัสสตริง และการต่อต้านการดีบักแบบหลายชั้น (Layered Anti-Debugging) รายการข้อมูลที่มัลแวร์เก็บเกี่ยวครอบคลุมกว้างขวาง
ประกอบด้วย credential จากเบราว์เซอร์ตระกูล Chromium ได้แก่ Google Chrome, Brave, Microsoft Edge, Opera และ Opera GX, Vivaldi, Chromium และ Naver Whale, ส่วนขยายกระเป๋าคริปโทเคอร์เรนซีราว 80 รายการ รวมถึง MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare และ Backpack, ตัวจัดการรหัสผ่าน 14 รายการ ได้แก่ 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass และ RoboForm ตลอดจนไฟล์จากไดเรกทอรี ~/Documents และ ~/Downloads ทั้งหมดนี้แสดงให้เห็นว่า CrashStealer มุ่งเป้าไปที่ทั้งข้อมูลรับรองการเข้าถึงและสินทรัพย์ดิจิทัลของเหยื่ออย่างครบวงจร
ผลกระทบต่อไทย
ผู้ใช้ Mac ในไทยมักเข้าใจว่า macOS ปลอดภัยกว่าระบบปฏิบัติการอื่นและกลไก Gatekeeper ของ Apple จะปกป้องจากมัลแวร์ได้ แต่ CrashStealer พิสูจน์ว่าผู้โจมตีสามารถใช้ dropper ที่ผ่านการ Notarize อย่างถูกต้องมาหลบเลี่ยง Gatekeeper ได้ ทำให้ผู้ใช้ที่ระวังตัวก็ยังตกเป็นเหยื่อได้ กลุ่มที่มีความเสี่ยงสูงเป็นพิเศษคือผู้ที่ถือครองคริปโทเคอร์เรนซีและใช้กระเป๋าเงินดิจิทัลบนเบราว์เซอร์ รวมถึงนักพัฒนาและผู้ใช้ที่เก็บรหัสผ่านไว้ในตัวจัดการรหัสผ่าน
กลไกการจำกัดการดาวน์โหลดด้วย PIN ประชุมยังบ่งชี้ว่าแคมเปญนี้อาจใช้วิศวกรรมสังคม (Social Engineering) ที่พุ่งเป้าเฉพาะกลุ่ม เช่น การหลอกล่อผ่านการนัดประชุมปลอมหรือข้อเสนอทางธุรกิจ ซึ่งเป็นรูปแบบที่คนไทยในแวดวงคริปโตและเทคโนโลยีควรระวังเป็นพิเศษ องค์กรที่ใช้เครื่อง Mac ในการทำงานควรตระหนักว่าการที่แอปผ่าน Notarize ไม่ได้รับประกันว่าปลอดภัยเสมอไป
คำแนะนำ
- อย่าเชื่อว่าแอปที่ผ่าน Notarize ปลอดภัยเสมอไป — ระวังการติดตั้งแอปที่สั่งให้ “คลิกขวาแล้วเลือก Open” หรือมาจากลิงก์ที่ต้องใช้ PIN/รหัสพิเศษในการดาวน์โหลด
- ระวังการหลอกล่อผ่านการนัดประชุมหรือข้อเสนอทางธุรกิจปลอม ซึ่งเป็นช่องทางที่แคมเปญนี้ใช้จำกัดการเข้าถึงตัวติดตั้ง
- ผู้ถือครองคริปโตควรใช้ Hardware Wallet แทนการเก็บกุญแจไว้ในส่วนขยายเบราว์เซอร์ ซึ่งเป็นเป้าหมายหลักของ CrashStealer
- ตรวจสอบ LaunchAgents และกระบวนการที่ผิดปกติ รวมถึงเฝ้าระวังการเชื่อมต่อไปยัง IP 179.43.166[.]242 (หมายเหตุ: defang แล้ว) และโดเมน werkbit[.]io
- ใช้โซลูชันตรวจจับภัยบนเครื่องปลายทาง (EDR) สำหรับ macOS และอัปเดตฐานข้อมูลภัยคุกคามอย่างสม่ำเสมอ เพราะ Gatekeeper เพียงอย่างเดียวไม่เพียงพอ
Indicators of Compromise (IoCs)
| ประเภท | Indicator | รายละเอียด |
|---|---|---|
| โดเมน | werkbit[.]io | โดเมนแจกจ่ายดิสก์อิมเมจ Werkbit.app (defang แล้ว) |
| IP (C2) | 179.43.166[.]242 | เซิร์ฟเวอร์รับข้อมูลที่ถูกส่งออก (defang แล้ว) |
| GitHub Repo | github.com/mgothiclove | ใช้เก็บไฟล์ sys.cache ดึงคำสั่ง curl |
| ไฟล์ | Werkbit.app | ดิสก์อิมเมจ dropper ที่ผ่าน Notarize |
| ไฟล์ | CrashReporter.dmg | เพย์โหลดขั้นถัดไป บันทึกใน /tmp |
| ไฟล์ | veltod | ไฟล์ปฏิบัติการเริ่มต้นที่ติดต่อ GitHub |
| Developer ID | Emil Grigorov (WWB7JA7AQV) | ใบรับรองที่ใช้เซ็นชื่อ dropper |
