มัลแวร์ใหม่ DigitStealer โจมตี Mac รุ่น M2+
Jamf Threat Labs เปิดเผยการค้นพบมัลแวร์ใหม่ชื่อ DigitStealer ที่ถูกออกแบบมาเพื่อเจาะระบบ macOS โดยเฉพาะรุ่นที่ใช้ชิป Apple Silicon M2 หรือใหม่กว่า จุดเด่นคือการใช้เทคนิคขั้นสูง เช่น multi-stage payload, JXA (JavaScript for Automation) และการซ่อนตัวผ่าน Cloudflare Pages เพื่อหลบเลี่ยงการตรวจจับ
เป้าหมายหลัก: กระเป๋าเงินคริปโต Ledger Live
หนึ่งในเป้าหมายสำคัญของ DigitStealer คือการแก้ไขและเปลี่ยนการตั้งค่าในแอป Ledger Live เพื่อส่งข้อมูล seed phrase และการตั้งค่ากระเป๋าเงินไปยังเซิร์ฟเวอร์ของผู้โจมตี มัลแวร์นี้ยังสามารถเข้าถึงข้อมูลจาก Electrum, Exodus, Coinomi และแม้แต่ macOS Keychain, VPN, Telegram ได้อีกด้วย
เทคนิคการโจมตีที่ซับซ้อน
DigitStealer ใช้การตรวจสอบฮาร์ดแวร์และ locale เพื่อตัดสินใจว่าจะทำงานหรือไม่ โดยมันจะไม่ทำงานบน VM, Intel Macs หรือแม้แต่ M1 Macs แต่จะทำงานเฉพาะบน M2 ขึ้นไป นอกจากนี้ยังใช้ AppleScript เพื่อหลอกให้ผู้ใช้กรอกรหัสผ่าน macOS และเก็บข้อมูล credential พร้อมทั้งสร้าง Launch Agent ที่ดึง payload จาก DNS TXT record เพื่อสร้าง backdoor ที่ทำงานต่อเนื่อง
ความเสี่ยงและบทเรียน
เหตุการณ์นี้สะท้อนให้เห็นว่าแม้ macOS จะถูกมองว่าปลอดภัย แต่ผู้โจมตีก็พัฒนาเทคนิคใหม่ๆ ที่เจาะจงไปยังสถาปัตยกรรมล่าสุดของ Apple ได้โดยตรง ผู้ใช้ที่เกี่ยวข้องกับคริปโตหรือข้อมูลสำคัญควรระวังเป็นพิเศษ และองค์กรควรเตรียมระบบตรวจจับภัยคุกคามที่ทันสมัยเพื่อรับมือกับมัลแวร์ที่ซับซ้อนเช่นนี้
สรุปสาระสำคัญ
การค้นพบมัลแวร์ DigitStealer
เจาะระบบ macOS M2+ โดยใช้ JXA และ Cloudflare Pages
ใช้ multi-stage payload เพื่อหลบเลี่ยงการตรวจจับ
เป้าหมายการโจมตี
มุ่งเป้าไปที่กระเป๋าเงินคริปโต Ledger Live
สามารถเข้าถึงข้อมูลจาก Keychain, VPN, Telegram และ browser
เทคนิคที่ใช้
ตรวจสอบ locale และฮาร์ดแวร์เพื่อเลือกเป้าหมาย
ใช้ AppleScript หลอกขอรหัสผ่าน macOS
สร้าง Launch Agent ที่ดึง payload จาก DNS TXT record
คำเตือนจากเหตุการณ์
macOS ไม่ได้ปลอดภัยสมบูรณ์ ผู้โจมตีเริ่มเจาะจงรุ่นใหม่โดยตรง
ผู้ใช้คริปโตควรระวังเป็นพิเศษ เนื่องจาก seed phrase อาจถูกขโมย
องค์กรควรมีระบบตรวจจับภัยคุกคามที่ทันสมัยและแผนรับมือมัลแวร์ขั้นสูง
https://securityonline.info/advanced-macos-digitstealer-targets-m2-macs-hijacking-ledger-live-via-jxa-and-dns-based-c2/
Jamf Threat Labs เปิดเผยการค้นพบมัลแวร์ใหม่ชื่อ DigitStealer ที่ถูกออกแบบมาเพื่อเจาะระบบ macOS โดยเฉพาะรุ่นที่ใช้ชิป Apple Silicon M2 หรือใหม่กว่า จุดเด่นคือการใช้เทคนิคขั้นสูง เช่น multi-stage payload, JXA (JavaScript for Automation) และการซ่อนตัวผ่าน Cloudflare Pages เพื่อหลบเลี่ยงการตรวจจับ
เป้าหมายหลัก: กระเป๋าเงินคริปโต Ledger Live
หนึ่งในเป้าหมายสำคัญของ DigitStealer คือการแก้ไขและเปลี่ยนการตั้งค่าในแอป Ledger Live เพื่อส่งข้อมูล seed phrase และการตั้งค่ากระเป๋าเงินไปยังเซิร์ฟเวอร์ของผู้โจมตี มัลแวร์นี้ยังสามารถเข้าถึงข้อมูลจาก Electrum, Exodus, Coinomi และแม้แต่ macOS Keychain, VPN, Telegram ได้อีกด้วย
เทคนิคการโจมตีที่ซับซ้อน
DigitStealer ใช้การตรวจสอบฮาร์ดแวร์และ locale เพื่อตัดสินใจว่าจะทำงานหรือไม่ โดยมันจะไม่ทำงานบน VM, Intel Macs หรือแม้แต่ M1 Macs แต่จะทำงานเฉพาะบน M2 ขึ้นไป นอกจากนี้ยังใช้ AppleScript เพื่อหลอกให้ผู้ใช้กรอกรหัสผ่าน macOS และเก็บข้อมูล credential พร้อมทั้งสร้าง Launch Agent ที่ดึง payload จาก DNS TXT record เพื่อสร้าง backdoor ที่ทำงานต่อเนื่อง
ความเสี่ยงและบทเรียน
เหตุการณ์นี้สะท้อนให้เห็นว่าแม้ macOS จะถูกมองว่าปลอดภัย แต่ผู้โจมตีก็พัฒนาเทคนิคใหม่ๆ ที่เจาะจงไปยังสถาปัตยกรรมล่าสุดของ Apple ได้โดยตรง ผู้ใช้ที่เกี่ยวข้องกับคริปโตหรือข้อมูลสำคัญควรระวังเป็นพิเศษ และองค์กรควรเตรียมระบบตรวจจับภัยคุกคามที่ทันสมัยเพื่อรับมือกับมัลแวร์ที่ซับซ้อนเช่นนี้
สรุปสาระสำคัญ
การค้นพบมัลแวร์ DigitStealer
เจาะระบบ macOS M2+ โดยใช้ JXA และ Cloudflare Pages
ใช้ multi-stage payload เพื่อหลบเลี่ยงการตรวจจับ
เป้าหมายการโจมตี
มุ่งเป้าไปที่กระเป๋าเงินคริปโต Ledger Live
สามารถเข้าถึงข้อมูลจาก Keychain, VPN, Telegram และ browser
เทคนิคที่ใช้
ตรวจสอบ locale และฮาร์ดแวร์เพื่อเลือกเป้าหมาย
ใช้ AppleScript หลอกขอรหัสผ่าน macOS
สร้าง Launch Agent ที่ดึง payload จาก DNS TXT record
คำเตือนจากเหตุการณ์
macOS ไม่ได้ปลอดภัยสมบูรณ์ ผู้โจมตีเริ่มเจาะจงรุ่นใหม่โดยตรง
ผู้ใช้คริปโตควรระวังเป็นพิเศษ เนื่องจาก seed phrase อาจถูกขโมย
องค์กรควรมีระบบตรวจจับภัยคุกคามที่ทันสมัยและแผนรับมือมัลแวร์ขั้นสูง
https://securityonline.info/advanced-macos-digitstealer-targets-m2-macs-hijacking-ledger-live-via-jxa-and-dns-based-c2/
🖥️ มัลแวร์ใหม่ DigitStealer โจมตี Mac รุ่น M2+
Jamf Threat Labs เปิดเผยการค้นพบมัลแวร์ใหม่ชื่อ DigitStealer ที่ถูกออกแบบมาเพื่อเจาะระบบ macOS โดยเฉพาะรุ่นที่ใช้ชิป Apple Silicon M2 หรือใหม่กว่า จุดเด่นคือการใช้เทคนิคขั้นสูง เช่น multi-stage payload, JXA (JavaScript for Automation) และการซ่อนตัวผ่าน Cloudflare Pages เพื่อหลบเลี่ยงการตรวจจับ
🔑 เป้าหมายหลัก: กระเป๋าเงินคริปโต Ledger Live
หนึ่งในเป้าหมายสำคัญของ DigitStealer คือการแก้ไขและเปลี่ยนการตั้งค่าในแอป Ledger Live เพื่อส่งข้อมูล seed phrase และการตั้งค่ากระเป๋าเงินไปยังเซิร์ฟเวอร์ของผู้โจมตี มัลแวร์นี้ยังสามารถเข้าถึงข้อมูลจาก Electrum, Exodus, Coinomi และแม้แต่ macOS Keychain, VPN, Telegram ได้อีกด้วย
🛡️ เทคนิคการโจมตีที่ซับซ้อน
DigitStealer ใช้การตรวจสอบฮาร์ดแวร์และ locale เพื่อตัดสินใจว่าจะทำงานหรือไม่ โดยมันจะไม่ทำงานบน VM, Intel Macs หรือแม้แต่ M1 Macs แต่จะทำงานเฉพาะบน M2 ขึ้นไป นอกจากนี้ยังใช้ AppleScript เพื่อหลอกให้ผู้ใช้กรอกรหัสผ่าน macOS และเก็บข้อมูล credential พร้อมทั้งสร้าง Launch Agent ที่ดึง payload จาก DNS TXT record เพื่อสร้าง backdoor ที่ทำงานต่อเนื่อง
⚠️ ความเสี่ยงและบทเรียน
เหตุการณ์นี้สะท้อนให้เห็นว่าแม้ macOS จะถูกมองว่าปลอดภัย แต่ผู้โจมตีก็พัฒนาเทคนิคใหม่ๆ ที่เจาะจงไปยังสถาปัตยกรรมล่าสุดของ Apple ได้โดยตรง ผู้ใช้ที่เกี่ยวข้องกับคริปโตหรือข้อมูลสำคัญควรระวังเป็นพิเศษ และองค์กรควรเตรียมระบบตรวจจับภัยคุกคามที่ทันสมัยเพื่อรับมือกับมัลแวร์ที่ซับซ้อนเช่นนี้
📌 สรุปสาระสำคัญ
✅ การค้นพบมัลแวร์ DigitStealer
➡️ เจาะระบบ macOS M2+ โดยใช้ JXA และ Cloudflare Pages
➡️ ใช้ multi-stage payload เพื่อหลบเลี่ยงการตรวจจับ
✅ เป้าหมายการโจมตี
➡️ มุ่งเป้าไปที่กระเป๋าเงินคริปโต Ledger Live
➡️ สามารถเข้าถึงข้อมูลจาก Keychain, VPN, Telegram และ browser
✅ เทคนิคที่ใช้
➡️ ตรวจสอบ locale และฮาร์ดแวร์เพื่อเลือกเป้าหมาย
➡️ ใช้ AppleScript หลอกขอรหัสผ่าน macOS
➡️ สร้าง Launch Agent ที่ดึง payload จาก DNS TXT record
‼️ คำเตือนจากเหตุการณ์
⛔ macOS ไม่ได้ปลอดภัยสมบูรณ์ ผู้โจมตีเริ่มเจาะจงรุ่นใหม่โดยตรง
⛔ ผู้ใช้คริปโตควรระวังเป็นพิเศษ เนื่องจาก seed phrase อาจถูกขโมย
⛔ องค์กรควรมีระบบตรวจจับภัยคุกคามที่ทันสมัยและแผนรับมือมัลแวร์ขั้นสูง
https://securityonline.info/advanced-macos-digitstealer-targets-m2-macs-hijacking-ledger-live-via-jxa-and-dns-based-c2/
0 Comments
0 Shares
14 Views
0 Reviews
Thai