มัลแวร์ที่เรียกว่าคธูลูเป็นภัยคุกคามล่าสุดที่ส่งผลกระทบต่อผู้ใช้ MacOS และมีลักษณะเฉพาะซึ่งคุณอาจเดาได้จากการอ่านชื่อโพสต์: มันถูกออกแบบมาโดยเฉพาะเพื่อขโมยสกุลเงินดิจิทัล
มัลแวร์นี้กำหนดเป้าหมายไปที่กระเป๋าเงินดิจิทัลที่จัดเก็บไว้ในระบบที่ได้รับผลกระทบ และมีความสามารถในการดึงข้อมูลที่ละเอียดอ่อน เช่น คีย์ส่วนตัวและข้อมูลประจำตัว ซึ่งสามารถใช้เพื่อล้างกระเป๋าเงินดิจิทัลของเหยื่อได้
ดังนั้นหากคุณต้องการทราบข้อมูลเพิ่มเติมเล็กน้อยเกี่ยวกับคธูลู มันทำอะไร สร้างอย่างไร และเหนือสิ่งอื่นใด คุณจะต่อสู้กับมันได้อย่างไร เราขอแนะนำให้คุณอ่านโพสต์นี้ต่อ ซึ่งเราจะให้รายละเอียดทั้งหมดแก่คุณ ไปเลย!
คุณสมบัติของมัลแวร์คธูลู
แตกต่างจากมัลแวร์ประเภทอื่นๆ มากมายที่โดยทั่วไปกำหนดเป้าหมายระบบ Windows หรือ Android คธูลูได้รับการออกแบบมาเพื่อโจมตีผู้ใช้ MacOS โดยเฉพาะ ซึ่งเป็นแพลตฟอร์มที่แต่ก่อนถือว่าปลอดภัยกว่าและเสี่ยงต่อการติดมัลแวร์น้อยกว่า
และดังที่เราได้ระบุไว้ในโอกาสอื่นๆ การที่ macOS เป็นแพลตฟอร์มที่มีผู้ใช้น้อยกว่าไม่ได้ทำให้ macOS นั้นคงกระพันและ การได้รับส่วนแบ่งการตลาดก็มีส่วนลบเช่นกันเช่นการปลุกเร้าความสนใจของผู้โจมตี
เป้าหมายคธูลู
เพื่อขโมย cryptocurrencies ของคุณ มัลแวร์จะค้นหากระเป๋าเงินที่คุณจัดเก็บไว้ในอุปกรณ์ที่ติดไวรัสของคุณ
เมื่อคุณพบพวกเขาแล้ว คธูลูแยกคีย์ส่วนตัวและข้อมูลสำคัญอื่น ๆ ที่ทำให้ผู้โจมตีสามารถโอนเงินไปยังบัญชีของตนเองได้ และเนื่องจากสกุลเงินดิจิทัลเป็นสิ่งที่ไม่มีการควบคุมและสามารถตรวจสอบย้อนกลับได้เพียงเล็กน้อยหรือไม่มีเลย... การโจรกรรมก็จะได้รับการคุ้มครอง
มัลแวร์นี้แพร่กระจายอย่างไร
วิธีการเผยแพร่คธูลูยังไม่ชัดเจนนัก แต่เช่นเดียวกับมัลแวร์ประเภทอื่นๆ มัลแวร์อาจถูกเผยแพร่ผ่านไฟล์แนบอีเมลที่เป็นอันตราย การดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์หรือปลอม เว็บไซต์ที่ถูกบุกรุก หรือโดยการหาประโยชน์จากช่องโหว่ในซอฟต์แวร์ระบบปฏิบัติการ
โดยเฉพาะก็มีข่าวลือว่า ถูกเผยแพร่เป็น “แคร็ก” ของเกมยอดนิยม เช่น Diablo, World of Warcraft หรือ Minecraft และยังซ่อนอยู่ใน mods เหล่านี้เช่นกัน เวอร์ชัน “Jack Sparrow” โดย CleanMyMacX.
แต่แอนตี้ไวรัสจะสามารถตรวจจับคธูลูได้ใช่ไหม?
บอกตามตรงว่ามัลแวร์ตัวนี้แพร่กระจายได้ง่ายเนื่องจากมีอัตราการใช้ซอฟต์แวร์รักษาความปลอดภัยสำหรับ macOS ค่อนข้างต่ำ แต่เราถือว่าคุณเป็นผู้อ่าน SoydeMac เป็นประจำและคุณให้ความสนใจกับเรา เคล็ดลับที่เราให้คุณเกี่ยวกับความปลอดภัย, ใช่มั้ย?
แต่แม้แต่แอนตี้ไวรัสที่ดีก็ยังตรวจจับมัลแวร์ได้ยากเนื่องจากดูเหมือนว่าจะเป็นเช่นนั้น คธูลูมีความสามารถในการหลบหลีกขั้นสูงเพื่อหลีกเลี่ยงการตรวจจับ โดยซอฟต์แวร์ป้องกันไวรัสและความปลอดภัยบน macOS รวมถึงเทคนิคต่างๆ เช่น การเข้ารหัสโค้ดของคุณ การใช้กลไกที่ทำให้สับสน หรือการใช้ประโยชน์จากสิทธิ์ที่ถูกต้องเพื่อหลีกเลี่ยงการก่อให้เกิดความสงสัย
มาดูกันดีกว่า: พวกเขาให้กำเนิดคธูลูได้อย่างไร?
เป็นเรื่องดีที่คุณรู้อยู่แล้วว่ามัลแวร์นี้เกี่ยวกับอะไร แต่เราจะให้เบาะแสเพิ่มเติมเกี่ยวกับวิธีการออกแบบมัลแวร์เพื่อให้คุณรู้ว่าสิ่งที่คุณกำลังมองหาเมื่อคุณเห็นสัตว์ร้าย Lovecraftian ปรากฏบน Mac ของคุณ
ภาษาการเขียนโปรแกรมคธูลู: ความฝันของซอฟต์แวร์
หากไม่มีซอร์สโค้ดอยู่ตรงหน้าเรา เราเชื่อว่าน่าจะเป็นเช่นนั้น คธูลูเขียนด้วย Objective-C หรือ Swiftซึ่งเป็นภาษาโปรแกรมที่ใช้มากที่สุดในการพัฒนาแอพพลิเคชั่นบน macOS ซึ่งเป็นสิ่งที่จะช่วยให้สามารถบูรณาการเข้ากับระบบปฏิบัติการได้อย่างลึกซึ้งและหลบเลี่ยงเทคนิคการตรวจจับมัลแวร์ดั้งเดิม
แต่ยัง คุณสามารถใช้ส่วนต่างๆ ในภาษา C หรือ C++ สำหรับส่วนที่ต้องมีการดำเนินการใกล้กับระบบมากขึ้นเช่นการจัดการหน่วยความจำหรือการจัดการไฟล์ระบบเนื่องจากเป็นภาษาที่ใช้ติดตั้งบริการเหล่านี้
ทำความเข้าใจเกี่ยวกับมัลแวร์: ไวรัสประกอบด้วยโมดูลขนาดเล็ก
มัลแวร์สามารถแบ่งออกเป็นหลายโมดูล ซึ่งแต่ละโมดูลทำหน้าที่เฉพาะ:
โมดูลการติดเชื้อเริ่มต้น
โมดูลนี้มีหน้าที่รับผิดชอบในการรันโค้ดที่เป็นอันตรายบนระบบของเหยื่อซึ่ง สามารถใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันบุคคลที่สาม หรือหลอกให้ผู้ใช้เข้าไป เรียกใช้ไฟล์ที่ดูเหมือนไม่เป็นพิษเป็นภัย (เช่น ไฟล์ PDF หรือโปรแกรมติดตั้งซอฟต์แวร์เกมละเมิดลิขสิทธิ์) เพื่อเข้าสู่ระบบ
โมดูลการคงอยู่
เมื่อมัลแวร์ถูกดำเนินการ โมดูลนี้จะช่วยให้แน่ใจว่ามัลแวร์จะยังคงอยู่ในระบบแม้ว่าจะรีบูตแล้วก็ตาม เพื่อให้เกิดความคงอยู่ คธูลูสามารถแก้ไขไฟล์การกำหนดค่าระบบได้
และภายในนี้ก็จะเข้าสู่ ติดตั้งสคริปต์เริ่มต้นในไดเร็กทอรีเรียกใช้ macOS (/Library/LaunchDaemons หรือ /Library/LaunchAgents) หรือใช้ เทคนิคการฉีดกระบวนการเพื่อให้ทำงานภายในกระบวนการ ถูกต้องตามกฎหมายของระบบ
โมดูลการหลบหลีก
เพื่อหลีกเลี่ยงการตรวจจับ คธูลูสามารถใช้เทคนิคการหลบเลี่ยงต่างๆ เช่น:
- การเข้ารหัสและการทำให้สับสน: เข้ารหัสบางส่วนของโค้ดเพื่อป้องกันไม่ให้กลไกป้องกันไวรัสรับรู้ ที่นี่เรามีความเป็นไปได้ที่จะทำให้โค้ดของคุณสับสน ซึ่งทำให้นักวิเคราะห์อ่านและทำความเข้าใจได้ยาก
- การปิดระบบความปลอดภัย: ลองปิดการใช้งานคุณสมบัติความปลอดภัยของระบบ เช่น Gatekeeper หรือ XProtect ซึ่งเป็นการป้องกัน MacOS ดั้งเดิม
- การตรวจสอบกิจกรรมความปลอดภัย: ตรวจจับการทำงานของเครื่องมือรักษาความปลอดภัยและปิดการใช้งานกิจกรรมที่เป็นอันตรายชั่วคราวเพื่อหลีกเลี่ยงการตรวจจับ
โมดูลการรวบรวมข้อมูล: กุญแจสำคัญในการขโมย cryptocurrencies
ขอบคุณโมดูลนี้ ไวรัสจะสแกนระบบเพื่อหาไฟล์จากกระเป๋าเงินดิจิตอลที่รู้จัก (เช่น ไฟล์การกำหนดค่าแอปพลิเคชัน เช่น Electrum, พระธรรมหรือคล้ายกัน)
เมื่อคุณตรวจพบพวกมันแล้ว เข้าถึงไฟล์กระเป๋าสตางค์และแยกคีย์ส่วนตัวและเมล็ดการกู้คืน ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ควบคุมโดยผู้โจมตี
ขั้นตอนนี้มีแนวโน้มที่จะเห็นการเฝ้าระวังคลิปบอร์ดของ macOS โดยที่คธูลูสามารถตรวจสอบคลิปบอร์ดเพื่อหาที่อยู่สกุลเงินดิจิทัลที่ผู้ใช้คัดลอกมา การตรวจจับที่อยู่กระเป๋าเงิน มัลแวร์สามารถแทนที่ด้วยที่อยู่ของผู้โจมตีได้ ดังนั้นการโอนสกุลเงินดิจิทัลไปยังบัญชีของผู้โจมตี และเราจะรวมมันไว้ด้วยกัน
โมดูลการสื่อสารกับเซิร์ฟเวอร์ C2
ผ่านโปรโตคอลที่ปลอดภัย เช่น HTTPS หรือ WebSocket ไวรัสสามารถสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุม การส่งข้อมูลที่ถูกขโมยและรับคำสั่งใหม่ ทั้งหมดนี้เชื่อมโยงกับเทคนิคที่ทำให้ยากต่อการติดตาม เช่น การใช้พร็อกซีเซิร์ฟเวอร์ การเข้ารหัสการรับส่งข้อมูล และการเปลี่ยนแปลงโดเมนของเซิร์ฟเวอร์ C2 บ่อยครั้ง
คธูลูแสดงสิ่งหนึ่งที่ชัดเจน: จำเป็นต้องปกป้อง
แม้ว่าท้ายที่สุดแล้วเรากำลังพูดถึงไวรัสอีกตัวหนึ่งในโลกแห่งความปลอดภัยทางไซเบอร์ แต่ก็เป็นสัญญาณเตือนภัยที่ชัดเจนสำหรับผู้ใช้ macOS ทุกคน: เพื่อนๆ ถึงเวลาติดตั้งโปรแกรมป้องกันไวรัสแล้ว
การปกป้องคอมพิวเตอร์ของเราเป็นความรับผิดชอบของเรา และไม่มีระบบที่คงกระพัน แม้แต่ระบบปฏิบัติการที่แปลกที่สุดและล้าสมัยที่สุดก็ยังมีมัลแวร์บางตัว "กำลังทำงานอยู่" ซึ่งอาจส่งผลต่อความปลอดภัยของคอมพิวเตอร์และความสมบูรณ์ของข้อมูลของคุณ
ตอนนี้มันขึ้นอยู่กับคุณแล้วที่จะต้องปกป้อง…หรืออ่อนแอ คุณอยากเป็นผู้ใช้ประเภทใด? ฉันมีมันชัดเจน