แรนซัมแวร์สายพันธุ์ใหม่ ‘แสบกว่าเดิม’

ช่วงนี้ถือเป็นช่วงที่ระบบปฏิบัติการ Mac OS ถูกแรนซัมแวร์โจมตีติดๆกันเลยครับ เพราะหลังจากที่โดนถล่มด้วยมัลแวร์ประเภท Adware ไปแล้ว ครั้งนี้ก็ถึงคราวโดนมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์โจมตีบ้างครับ

แรนซัมแวร์ที่โจมตี Mac OS นั้นเป็นหนึ่งในแรนซัมแวร์ 3 ตัวที่ถูกค้นพบขึ้นมาใหม่และสามารถดึงดูดความสนใจจากนักวิจัยด้านความปลอดภัยไซเบอร์และนักวิจัยมัลแวร์ ซึ่งแรมซัมแวร์ตัวนี้จะมุ่งเป้าโจมตีไปที่ผู้ใช้เครื่องระบบ Mac โดยเฉพาะ

OSX.EvilQuest, คือ ชื่อของแม็คแรนซัมแวร์ (Mac Ransomware) ที่แพร่กระจายผ่านทางเว็บ Torrent จากประเทศรัสเซีย และทำการแชร์จากฟอรั่มมาในรูปแบบของ Disk Image File ที่สามารถดาวน์โหลดออกไปได้ ซึ่งไฟล์นั้นจะเป็นเหมือนตัวติดตั้งตัวเล็กๆของ Hosted-based Application Firewall

นักวิจัยบางส่วนรายงานถึงการค้นพบที่เกิดขึ้น ทั้งนี้หนึ่งในนักวิจัยได้ทวิตลงในทวิตเตอร์ของตนถึงตัวอย่างของ OSX. EvilQuest มัลแวร์ที่แอนตี้ไวรัสไม่สามารถตรวจพบได้ (0% Detection Rate) และตัวมันยังแกล้งทำเป็นตัว Google Software Update Program อีกด้วย

แม้มัลแวร์ตัวนี้จะยังมีข้อบกพร่องอยู่บ้าง แต่จากรายงานของ Thomas Reed ผู้อำนวยการบริษัทมัลแวร์ไบท์ ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ได้โพสต์ใน Blog ว่าจากการดาวน์โหลดตัวติดตั้งของแอพ Little Snitch ที่เป็นแอปเถื่อนทำให้เห็นได้ชัดว่า มีบางอย่างผิดปกติเกิดขึ้นสำหรับแอป Little Snitch แบบโหลดเถื่อน โดยมันจะมาพร้อมกับ Generic Installer Package ปกติ ซึ่งดูเผินๆเหมือนกับติดตั้งแอป Little Snitch เวอร์ชันจริง แต่ความจริงแล้วมันยังติดตั้งไฟล์ที่มีชื่อว่า Patch เพิ่มเข้ามาด้วย อีกทั้งยังมีสคริปต์หลังจากติดตั้งแอพ เป็นสาเหตุที่ทำให้เครื่องๆนั้นติดแรนซัมแวร์

หลังจากนั้นสคริปต์ที่ติดตั้งดังกล่าวจะย้ายไฟล์ที่ชื่อ Patch ไปยังที่ใหม่แล้วเปลี่ยนชื่อใหม่ให้มันเป็น CrashReporter ซึ่งซ่อนอยู่ใน Activity Monitor จึงทำให้ผู้ใช้ไม่เกิดความสงสัย จากนั้นไฟล์ที่ชื่อ Patch จะเริ่มติดตั้งตัวเองไปอีกหลายจุดในเครื่องนั้น แล้วแรนซัมแวร์จะทำการเข้ารหัสการตั้งค่าและไฟล์ข้อมูลต่างๆ บนเครื่อง Mac เหมือนกับไฟล์ Keychain ซึ่งจะส่งผลให้มี Error เกิดขึ้นเมื่อพยายามเข้าถึง iCloud Keychain รวมไปถึง Finder เองก็จะเริ่มทำงานผิดปกติหลังจากติดตั้งเสร็จ ไม่เพียงเท่านั้นส่วนอื่นๆ เช่น Dock และแอปพลิเคชันต่างๆก็จะเริ่มเกิดปัญหาขึ้น

ซึ่งไฟล์ที่ชื่อ Patch นี้ได้กลายมาเป็นตัวที่เข้ารหัสกับฮาร์ดไดร์ฟไฟล์ต่างๆ โดยทั้งหมดนั้นใช้สิทธิ์ของ Root Privileges ในการรันบนเครื่องของเหยื่อ ทั้งนี้มัลแวร์ยังได้แจ้งเตือนเหยื่อผ่านทางข้อความและหน้าต่าง Prompt ซึ่งในตัวอย่างข้อความที่ถูกเปิดเผยพบว่าได้มีการอ้างว่ามีการใช้ AES-256 อัลกอริทึมที่ใช้ในการเข้ารหัสไฟล์ และบอกให้เหยื่อจ่าย 50 ดอลลาร์สหรัฐสำหรับการไถ่ข้อมูลคืนผ่านช่องทางบิตคอยน์(Bitcoin) รวมถึงให้ระยะเวลาในการจ่ายเงินเพื่อไถ่ข้อมูลคืนภายใน 3 วัน ไม่เช่นนั้นจะไม่สามารถเรียกหรือกู้คืนข้อมูลกลับมาได้ และนอกจากการล็อคไฟล์ไว้เรียกค่าไถ่แล้ว มัลแวร์ในเครื่องยังติดตั้ง Keylogger เพื่อเก็บข้อมูลการกดแป้นพิมพ์ของผู้ใช้งานมาอีกด้วย

ช่วงนี้เป็นช่วงที่แรนซัมแวร์ระบาดครับ นอกเหนือจากที่ผมได้ยกตัวอย่างมานั้นก็ยังมีอีกหลายตัวที่มีจุดมุ่งหมายในการโจมตีที่ต่างกันออกไป ยิ่งมีแรนซัมแวร์ที่แอนตี้ไวรัสไม่สามารถตรวจพบได้ ยิ่งทำให้องค์กรต้องหันมาให้ความสำคัญกับการป้องกันระบบในทุกๆส่วน และเลือกใช้โซลูชัน (Solution) ที่สามารถ Integrate กันได้ เพื่อทำให้การคุ้มครองระบบมีช่องโหว่น้อยที่สุดครับ