ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

9 ข่าว

CrashStealer มัลแวร์ macOS ตัวใหม่ ใช้ Dropper ที่ผ่าน Notarize เลี่ยงการตรวจของ Gatekeeper

CrashStealer macOS malware uses notarized dropper to pass Gatekeeper checks
นักวิจัยจาก Jamf Threat Labs พบมัลแวร์ขโมยข้อมูล macOS ตัวใหม่ชื่อ CrashStealer ที่เขียนด้วยภาษา C++ ต่างจาก stealer ทั่วไปที่ใช้ AppleScript หรือ Objective-C มันตรวจสอบรหัสผ่านล็อกอินของเหยื่อในเครื่องก่อนขโมยข้อมูล เก็บกวาดทั้งเบราว์เซอร์ กระเป๋าคริปโต ตัวจัดการรหัสผ่าน และ Keychain เข้ารหัสด้วย AES-GCM ก่อนส่งออกผ่าน libcurl จุดเด่นคือแพร่ผ่าน Dropper ที่เซ็นและผ่าน Apple Notarize ในชื่อ Werkbit.app ทำให้ผ่านการตรวจของ Gatekeeper ได้ และการดาวน์โหลดต้องมี PIN ประชุมจึงจะเข้าถึง

Microsoft ยืนยันบั๊ก Teams บน macOS ทำแชร์หน้าจอค้าง-จอดำ — เร่งออกแนวทางแก้ในผลิตภัณฑ์ปลายกรกฎาคม

Microsoft Teams on macOS screen sharing bug causing blank black screens during meetings
บริษัท Microsoft ยืนยันปัญหาที่ทราบแล้วใน Teams บน macOS ที่ทำให้การแชร์หน้าจอล้มเหลว ค้าง หรือขึ้นจอดำระหว่างประชุม กระทบเครื่องที่รัน macOS เวอร์ชันเก่ากว่า Tahoe 26.4 โดยเฉพาะเครื่องที่หน่วยความจำต่ำหรือดิสก์เต็ม ปัญหานี้กระทบองค์กรที่ใช้ Microsoft 365 Government (GCC, GCC High, DoD) เป็นหลัก Microsoft เลื่อนกำหนดออกแนวทางแก้ในผลิตภัณฑ์เป็นปลายกรกฎาคม 2569 เสร็จสมบูรณ์กลางสิงหาคม ผู้ใช้แก้ได้ทันทีด้วยการอัปเดต macOS เป็น Tahoe 26.4 หรือเปิดใช้ Mac OS native sharing

PamStealer มัลแวร์ macOS ตัวใหม่ ปลอมเว็บ Maccy หลอกขโมยรหัสผ่านผ่าน PAM

pam apple cybersecurity git applescript jamf threat labs
Jamf Threat Labs พบมัลแวร์ขโมยข้อมูลบน macOS ตัวใหม่ชื่อ PamStealer ที่ปลอมเป็นแอป Maccy โปรแกรมจัดการคลิปบอร์ดโอเพนซอร์ส แจกผ่านเว็บปลอม maccyapp.com ในรูปไฟล์ AppleScript ที่ซ่อนโค้ดใต้บรรทัดว่าง ทำงานได้แม้ไฟล์ยังติด quarantine ใช้ PAM ตรวจสอบรหัสผ่านเหยื่อก่อนขโมย และดึงเพย์โหลด Rust ขโมยข้อมูลเบราว์เซอร์ กระเป๋าคริปโต และ iCloud Keychain

Gaslight มัลแวร์ macOS ตัวใหม่ฝัง prompt injection หลอก AI ให้ล้มเลิกการวิเคราะห์ — ฝีมือกลุ่มเกาหลีเหนือ

Gaslight macOS malware uses prompt injection to disrupt AI-assisted analysis
นักวิจัยจาก SentinelOne พบมัลแวร์ macOS ตัวใหม่ชื่อ Gaslight ที่เขียนด้วยภาษา Rust ทำหน้าที่เป็นทั้ง implant และ infostealer เชื่อว่าเป็นฝีมือกลุ่มที่เชื่อมโยงกับเกาหลีเหนือ จุดเด่นคือการฝังข้อความ system ปลอม 38 ข้อความเพื่อทำ prompt injection หลอกเครื่องมือ AI ให้ล้มเลิกการวิเคราะห์ มัลแวร์ใช้ Telegram bot เป็นช่อง C2 และขโมยข้อมูลจากเบราว์เซอร์ Keychain และประวัติคำสั่ง Terminal

แฮ็กเกอร์ใช้ Claude.ai shared chat เป็นแพลตฟอร์มหลอก ClickFix — ปลอม Apple Support และเครื่องมือ AI ติดตั้ง MacSync infostealer บน macOS

Hackers abuse Claude.ai shared chat for ClickFix attacks delivering MacSync infostealer
แฮ็กเกอร์ใช้ฟีเจอร์ shared chat ของ Claude.ai เป็นแพลตฟอร์มโฮสต์คำสั่ง ClickFix อันตราย โดยสร้างหน้า chat ปลอมที่ปลอมเป็น Apple Support หรือทีมพัฒนาซอฟต์แวร์ หลอกเหยื่อรันคำสั่ง terminal ที่ดาวน์โหลด MacSync infostealer บน macOS นักวิจัยจากบริษัท TrendAI พบ hostname อันตราย 106 รายการใน 6 wave ภายใน 7 สัปดาห์ เอเชียแปซิฟิกตกเป็นเป้ากว่า 67% โดยไต้หวันเป็นอันดับ 1

Amos Stealer มัลแวร์ขโมยข้อมูล macOS — ดึงรหัสผ่านจาก Keychain และเบราว์เซอร์อย่างเงียบเชียบ

Amos Stealer macOS Keychain browser password theft malware
CyberProof เปิดเผยรายละเอียดแคมเปญ Amos Stealer ที่เล็งเป้ามัลแวร์ขโมยข้อมูลบน macOS ดึงรหัสผ่านจาก Keychain, cookie และ autofill จาก Chrome และ Edge ใช้ curl ดาวน์โหลด payload แบบเงียบเชียบ บีบอัดข้อมูลด้วย ditto แล้วส่งออกผ่าน HTTP PUT พร้อม retry สูงสุด 8 ครั้ง

SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต

SHub Reaper macOS stealer ClickFix Script Editor crypto wallet
บริษัท Moonlock พบ SHub Stealer สายพันธุ์ใหม่ชื่อ Reaper แพร่ผ่านเว็บปลอมที่เลียนแบบซอฟต์แวร์ยอดนิยม ใช้ ClickFix อัตโนมัติเปิด Script Editor ของ macOS โดยไม่ต้องให้ผู้ใช้วางโค้ดเอง ขโมยข้อมูลเบราว์เซอร์ 8 ยี่ห้อ กระเป๋าคริปโต 5 ตัว และฝัง backdoor ปลอมตัวเป็น Google Update ผู้ใช้ Mac ที่ดาวน์โหลดซอฟต์แวร์นอก App Store ควรระวังเป็นพิเศษ

JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm

JINX-0164 LinkedIn social engineering macOS malware crypto organizations
Wiz เปิดโปงกลุ่ม JINX-0164 ที่มีแรงจูงใจทางการเงิน ใช้โปรไฟล์ LinkedIn ปลอมหลอกนักพัฒนาคริปโตด้วยข้อเสนองาน แล้วส่งลิงก์ประชุมปลอมเพื่อปล่อยมัลแวร์ macOS สองตระกูลคือ AUDIOFIX และ MINIRAT ขโมย credential เบราว์เซอร์ กระเป๋าคริปโต SSH key และ token คลาวด์ จากนั้นลามผ่าน supply chain ด้วยการฝังโค้ดในแพ็กเกจ npm @velora-dex/sdk และ push โค้ดร้ายเข้า repo ภายใน เปลี่ยนโครงสร้างพัฒนาขององค์กรให้กลายเป็นช่องแพร่เชื้อ

มัลแวร์ Reaper ใหม่โจมตี macOS — ขโมยรหัสผ่าน คริปโต และข้อมูลเบราว์เซอร์ผ่านโดเมนปลอม Microsoft

Reaper malware targeting macOS users
SentinelLABS ค้นพบมัลแวร์ Reaper ซึ่งเป็นสายพันธุ์ใหม่ของ SHub Infostealer ที่สามารถหลบเลี่ยงการอัปเดตความปลอดภัยของ macOS Tahoe 26.4 ได้ มัลแวร์แพร่กระจายผ่านเว็บไซต์ดาวน์โหลดปลอมของ WeChat และ Miro โดยใช้โดเมน Typosquatting ของ Microsoft ขโมยรหัสผ่าน ข้อมูลเบราว์เซอร์ และคริปโตวอลเล็ต พร้อมฝัง Backdoor ถาวร