จากรายงานข่าวโดยเว็บไซต์ The Hacker News นักวิจัยจากบริษัทพัฒนาซอฟต์แวร์เพื่อการจัดการอุปกรณ์ (Device Management) ของ Apple โดยเฉพาะ Kandji ได้ออกมาเปิดเผยถึงการตรวจพบมัลแวร์ตัวใหม่ TodoSwift
ซึ่งทางนักวิจัยเองนั้นตั้งข้อสงสัยว่าต้นกำเนิดอาจจะมาจากทางประเทศเกาหลีเหนือ โดยให้ความเห็นว่า “พฤติกรรมการทำงานของมัลแวร์ตัวนี้นั้น มีความคล้ายคลึงกับมัลแวร์ที่มาจากเกาหลีเหนือหลายตัว โดยเฉพาะมัลแวร์ที่ถูกปล่อยโดยกลุ่มแฮกเกอร์ BlueNoroff เช่น KANDYKORN และ RustBucket”
ซึ่งมัลแวร์ที่ถูกพาดพิงถึงทั้ง 2 ตัวนี้นั้นถูกใช้งานโดยกลุ่ม Lazarus Group ซึ่งเป็นแฮกเกอร์กลุ่มย่อยที่แตกสายออกมาจาก BlueNoroff โดยมัลแวร์ RustBucket นั้นถูกพบว่ามีการระบาดมาตั้งแต่ปี ค.ศ. 2023 (พ.ศ. 2566) ซึ่งมัลแวร์ตัวนี้จะเป็นประเภทการสร้างประตูหลังของระบบ (Backdoor) พร้อมทั้งมีการติดต่อเพื่อดาวน์โหลดไฟล์มัลแวร์ตัวอื่น ๆ กับทางเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ขณะที่ KANDYKORN จะมุ่งเน้นไปที่การขโมยข้อมูล
โดยมีรายงานว่ามัลแวร์ตัวดังกล่าวถูกใช้ขโมยข้อมูลจากกลุ่มวิศวกรผู้เชี่ยวชาญทางด้าน Blockchain จากบริษัทที่ทำกิจการตลาดซื้อขายแลกเปลี่ยนคริปโตเคอร์เรนซีแห่งหนึ่ง โดยมัลแวร์ตัวดังกล่าวนอกจากจะมีความสามารถในการขโมย ส่งข้อมูลให้กับทางเซิร์ฟเวอร์ของแฮกเกอร์แล้ว ยังมีความสามารถในการรันโค้ดที่ไม่ได้รับอนุญาตบนเครื่องของเหยื่อ พร้อมทั้งสามารถปิด Process ต่าง ๆ ที่กำลังทำงานอยู่ได้อีกด้วย
สำหรับมัลแวร์ TodoSwift นั้น ทางแหล่งข่าวไม่ได้ระบุชัดเจนว่าแฮกเกอร์ใช้วิธีการใดในการส่งถึงเหยื่อ แต่ตัวไฟล์มัลแวร์นั้นถูกเผยแพร่ในรูปแบบ Signed file (ไฟล์ที่ถูกรับรองด้วยลายเซ็นดิจิทัล) ในชื่อ TodoTasks และสำหรับภายหลังการตรวจสอบของทีมวิจัยพบว่าในส่วนของ GUI นั้นถูกเขียนขึ้นด้วยเครื่องมือสำหรับพัฒนาส่วนของ Interface ชื่อดังอย่าง SwiftUI
โดยแฮกเกอร์ได้ทำการปลอมแปลงให้ตัวไฟล์มัลแวร์นั้นปลอมตัวเป็นไฟล์ PDF ที่อวดอ้างว่าเป็นข้อมูลสำคัญเกี่ยวกับ Bitcoin ซึ่งการปลอมตัวในลักษณะนี้เป็นไปได้ที่ตัวมัลแวร์จะมุ่งเน้นโจมตีผู้ที่สนใจในการลงทุนคริปโตเคอร์เรนซี่ ซึ่งหลังจากที่เหยื่อได้การเปิดอ่านไฟล์ดังกล่าวแล้ว ตัวไฟล์ PDF จริงที่อัปโหลดอยู่บน Google Drive ก็จะถูกเปิดขึ้นมาจนเหยื่อตายใจ แต่ลับหลังแล้วตัวแอปพลิเคชันปลอมนี้ก็จะทำการดาวน์โหลดมัลแวร์ตัวจริงลงมาจากเซิร์ฟเวอร์ควบคุม (C2) ที่ตั้งอยู่บนโดเมนของแฮกเกอร์ที่มีชื่อว่า buy2x[.]com ลงมาด้วยเทคนิค “Second-Stage Binary” ซึ่งเป็นเทคนิคเดียวกันกับที่มัลแวร์ RustBucker ใช้เพื่อทำการเก็บข้อมูลต่าง ๆ ที่อยู่บนเครื่อง เช่น รุ่นของฮาร์ดแวร์ และ รุ่นของระบบปฏิบัติการ ส่งกลับไปที่เซิร์ฟเวอร์ควบคุมและเปิดทางให้แฮกเกอร์ปล่อยมัลแวร์ต่าง ๆ เพิ่มเติมลงมาในขั้นตอนถัดไป
นอกจากนั้นแล้ว ทางนักวิจัยยังได้กล่าวถึงจุดสำคัญที่ทำให้มัลแวร์ดังกล่าวนั้นมีความร้ายกาจมากพอในการทำอันตรายต่อระบบ macOS ที่ครั้งหนึ่งหลายคนมั่นใจในความแข็งแกร่ง “มัลแวร์ตัวดังกล่าวนั้นนอกจากจะสามารถติดต่อสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน API ได้แล้ว ยังมีความสามารถในการเขียนข้อมูล และรันไฟล์เองบนเครื่องของเหยื่อได้อีกด้วย”
จากแหล่งข่าวนอกจากแหล่งกำเนิดของมัลแวร์แล้วก็ไม่ได้มีการเปิดเผยว่ามัลแวร์นี้กำลังระบาดอยู่ในภูมิภาคใด หรือมีซอฟต์แวร์สำหรับใช้ในการป้องกัน และขจัดมัลแวร์ตัวดังกล่าวหรือยัง ดังนั้น ขอให้ผู้อ่านทุกท่านมีความระมัดระวังในการเปิดไฟล์ ที่ในความเป็นจริงอาจเป็นกับดักที่แฮกเกอร์วางไว้เพื่อให้เกิดการติดตั้ง และรันมัลแวร์ก็เป็นได้
ที่มา : thehackernews.com