นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยแคมเปญมัลแวร์ที่ละเอียดอ่อนซึ่งมุ่งเป้าผู้ใช้ macOS ที่ถือครองคริปโต สปายแวร์ที่เป็นอันตรายนี้ ชื่อว่า Atomic Stealer (AMOS) ปลอมตัวเป็นแอปพลิเคชัน Ledger Live ที่มีชื่อเสียงเพื่อแอบขโมย wallet seed phrases ที่มีค่าทางคริปโตและขโมยสินทรัพย์ดิจิทัลจากเหยื่อที่ไม่รู้ตัว
ความกังวลที่เร่งด่วนที่สุด เกี่ยวข้องกับ ความสามารถของมัลแวร์ในการเปลี่ยนแอปพลิเคชัน Ledger Live ของจริงด้วยแอปที่เป็นมาลิแวร์ที่คล้ายคลึงกันเกือบทุกประการ เมื่อติดตั้งในระบบของเหยื่อ แอปปลอมนี้จะแสดงข้อความป๊อปอัปที่หลอกลวงเพื่อขอให้ผู้ใช้ใส่ 24-word recovery phrase เพื่อการยืนยันความปลอดภัยหรือการซิงโครไนซ์กระเป๋าเงิน
กลยุทธ์วิศวกรรมสังคมนี้ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในแอปพลิเคชัน Ledger Live ของจริงที่ใช้กันอย่างกว้างขวางสำหรับการจัดการกระเป๋าฮาร์ดแวร์ Ledger เมื่อเหยื่อใส่ seed phrases ข้อมูลนี้จะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมที่โจรไซเบอร์ควบคุม ให้พวกเขามีการเข้าถึงอย่างสมบูรณ์ต่อกระเป๋าเงินคริปโตที่เกี่ยวข้อง
นักวิจัยด้านความปลอดภัยจากหลายบริษัท เช่น Unit 42, Intego, และ Moonlock ยืนยันว่าแคมเปญที่ใช้งานด้วยเทคนิคนี้กำลังดำเนินอยู่ โดยมีเหยื่อรายงานการสูญเสียทางการเงินที่สำคัญตั้งแต่หลายร้อยถึงหลักพันดอลลาร์ในรูปแบบของคริปโตที่ถูกขโมย
วิธีการแจกจ่ายและเวกเตอร์การติดเชื้อเริ่มต้น
มัลแวร์ Atomic Stealer ใช้ช่องทางการแจกจ่ายที่ซับซ้อนหลายช่องทางเพื่อเข้าถึงเหยื่อที่เป็นไปได้ โดยเวกเตอร์การติดเชื้อหลักประกอบไปด้วยเว็บไซต์ฟิชชิ่งที่สร้างขึ้นอย่างระมัดระวังเลียนแบบพอร์ทัลดาวน์โหลดซอฟต์แวร์ที่ถูกต้อง โฆษณาที่เป็นอันตรายบนเว็บไซต์ยอดนิยม และที่เก็บซอฟต์แวร์ที่ถูกโจมตี
ผู้โจมตีมักใช้เทคนิคการทำ SEO เพื่อให้แน่ใจว่าไซต์ดาวน์โหลดที่เป็นมาลิแวร์ของพวกเขาปรากฏอยู่ในลำดับต้น ๆ เมื่อลูกค้าค้นหาซอฟต์แวร์ที่ถูกต้อง ไซต์ปลอมเหล่านี้มักมีการใช้งานแบรนด์อย่างเป็นทางการและอาจรวมถึงการรีวิวและการยืนยันของผู้ใช้ที่เป็นปลอม
วิธีการแจกจ่ายอีกวิธีหนึ่งที่พบบ่อยคือการเสนอซอฟต์แวร์เสียหรือแคร็กของซอฟต์แวร์ที่ต้องจ่ายเงิน ผู้ใช้ที่มองหาตัวเลือกที่ฟรีจากซอฟต์แวร์ที่แพงมักจะดาวน์โหลดมัลแวร์ที่บรรจุไว้กับซอฟต์แวร์ที่ดูเหมือนทำงานได้จริง
ติดตั้งไลบรารีซอฟต์แวร์มักจะมีการรับรองด้วยใบรับรองปลอม ซึ่งช่วยให้มัลแวร์สามารถข้ามการตรวจสอบความปลอดภัยเบื้องต้นและดูเหมือนถูกต้องทั้งระบบปฏิบัติการและซอฟต์แวร์ความปลอดภัย เทคนิคนี้ช่วยเพิ่มอัตราความสำเร็จของการติดเชื้อเริ่มต้นได้อย่างมาก
ความสามารถในการขโมยข้อมูลที่ครอบคลุม
แม้ว่าเลเยอร์ Ledger Live ปลอมจะเป็นฝ่ายที่สร้างความเสียหายทางการเงินที่สุดของ Atomic Stealer มัลแวร์ยังมีความสามารถในการขโมยข้อมูลที่กว้างขวางอีกมากซึ่งไม่ได้จำกัดเฉพาะแอปพลิเคชันคริปโต ความวิเคราะห์ด้านความปลอดภัยแสดงให้เห็นว่ามัลแวร์สามารถดึงข้อมูลที่สำคัญจากส่วนขยายเบราว์เซอร์กระเป๋าคริปโตมากกว่า 50 ชนิดรวมถึงตัวเลือกยอดนิยมอย่าง MetaMask, Coinbase Wallet และ Trust Wallet
มัลแวร์มีการเก็บรวบรวมรหัสผ่านที่เก็บไว้จากเบราว์เซอร์เว็บหลัก เช่น Safari, Chrome, Firefox, และ Edge โดยมุ่งเป้าหมายไปที่การจัดการรหัสผ่านและสามารถดึงข้อมูลจากแอปพลิเคชันอย่าง 1Password, Bitwarden, และ LastPass หากไม่ได้ล็อกในช่วงเวลาที่ติดเชื้อ
การขโมยข้อมูลการเงินเป็นเรื่องที่น่ากังวลอื่น ๆ โดย Atomic Stealer สามารถดึงข้อมูลบัตรเครดิต, ข้อมูลบัญชีธนาคาร, และข้อมูลการประมวลผลการชำระเงินที่เก็บไว้จากเบราว์เซอร์และแอปพลิเคชันการเงิน มัลแวร์ยังคงมีการเก็บรวบรวมคุกกี้เบราว์เซอร์ ซึ่งจะให้ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อในบริการออนไลน์ต่าง ๆ ได้
ความสามารถในการตรวจสอบระบบช่วยให้มัลแวร์สามารถรวบรวมข้อมูลการแข็งตัวของฮาร์ดแวร์ที่ละเอียด, การติดตั้งซอฟต์แวร์, และข้อมูลบัญชีผู้ใช้ ข้อมูลเหล่านี้ช่วยให้ผู้โจมตีสามารถระบุเป้าหมายที่มีความคุ้มค่าสูงและวางแผนการโจมตีต่อเนื่องหรือแคมเปญวิศวกรรมสังคม
กลไกการคงการรอดและเทคนิคการหลบหลีก
Atomic Stealer ใช้เทคนิคที่ซับซ้อนเพื่อรักษาการดำรงอยู่บนระบบที่ติดเชื้อและหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์ความปลอดภัย มัลแวร์สร้างกลไกการคงการรอดหลายแบบ รวมถึง launch agents, login items, และ scheduled tasks ซึ่งรับรองว่ามันยังทำงานต่อไปได้แม้หลังจากรีสตาร์ทระบบ
มัลแวร์ใช้เทคนิค obfuscation ขั้นสูงเพื่อซ่อนการปรากฏของตนจากซอฟต์แวร์แอนติไวรัสและเครื่องมือการตรวจสอบระบบ มันเปลี่ยนชื่อไฟล์, ตำแหน่ง, และรูปแบบการทำงานอย่างสม่ำเสมอเพื่อหลีกเลี่ยงวิธีการตรวจจับด้วยลายเซ็นที่ใช้บ่อยในโซลูชันความปลอดภัยทั่วไป
การสื่อสารทางเครือข่ายกับเซิร์ฟเวอร์ควบคุมใช้ช่องทางที่เข้ารหัสและอัลกอริทึมการผลิตโดเมนเพื่อรักษาการเชื่อมต่อแม้ในขณะที่โดเมนที่เป็นอันตรายบางส่วนถูกบล็อกหรือลงไป มัลแวร์สามารถรับคำสั่งที่อัปเดตและดาวน์โหลด payloads เพิ่มเติมเพื่อเพิ่มความสามารถ
ผลกระทบต่อภูมิทัศน์ความปลอดภัยของคริปโต
การปรากฏของ Atomic Stealer เป็นการเพิ่มภัยคุกคามที่มุ่งเป้าผู้ใช้คริปโตอย่างมีนัยสำคัญ ไม่เหมือนมัลแวร์ก่อนหน้านี้ที่อาศัยการโจมตีบนเบราว์เซอร์หรือ keylogger ง่าย ๆ แคมเปญนี้แสดงความสามารถในการปลอมแปลงแอปพลิเคชันที่ซับซ้อนซึ่งสามารถหลอกลวงแม้แต่ผู้ใช้ที่ความระมัดระวังเรื่องความปลอดภัย
ผลกระทบทางการเงินเกินเหยื่อรายเดียว เนื่องจากการโจมตีที่สำเร็จทำลายความเชื่อมั่นในวิธีการปฏิบัติงานความปลอดภัยของคริปโตและโซลูชันกระเป๋าฮาร์ดแวร์ Ledger บริษัทที่อยู่เบื้องหลังแอปพลิเคชัน Ledger Live ของจริง ได้ออกประกาศด้านความปลอดภัยเตือนผู้ใช้เกี่ยวกับแคมเปญการปลอมตัวนี้และให้คำแนะนำในการระบุซอฟต์แวร์ที่ถูกต้อง
ผู้เชี่ยวชาญด้านความปลอดภัยในอุตสาหกรรมชี้ว่ารูปแบบการโจมตีนี้อาจถูกคัดลอกไปยังแอปพลิเคชันคริปโตที่มีชื่อเสียงอื่น ๆ อย่าง Trezor Suite, Exodus, และซอฟต์แวร์การจัดการกระเป๋าเงินอื่น ๆ ความสำเร็จของแคมเปญการปลอมแปลง Ledger Live เป็นตัวอย่างวิธีการโจมตีที่คล้ายคลึงกับภูมิทัศน์คริปโตทางวงการทั่วไป
ความท้าทายในการตรวจจับและการลบ
การระบุการติดเชื้อจาก Atomic Stealer เป็นความท้าทายที่สำคัญสำหรับผู้ใช้และซอฟต์แวร์ความปลอดภัย เทคนิคการหลบหลีกและการปฏิบัติที่ดูเหมือนถูกต้องของมัลแวร์ทำให้ยากที่จะระบุจากแอปพลิเคชันที่ถูกต้องตลอดเวลาการสแกนระบบตามปกติ
ผู้ใช้อาจไม่สังเกตเห็นการติดเชื้อในทันทีเนื่องจากมัลแวร์มักอนุญาตให้แอปพลิเคชันที่ถูกต้องทำงานตามปกติขณะปฏิบัติการในพื้นหลัง อาการอาจปรากฏเฉพาะเมื่อกองทุนคริปโตถูกขโมยหรือเมื่อซอฟต์แวร์ความปลอดภัยที่ได้รับการออกแบบมาเพื่อตรวจจับภัยคุกคามในตระกูลนี้ถูกใช้
นักวิจัยด้านความปลอดภัยแนะนำให้ใช้โซลูชันแอนติไวรัสที่ถูกปรับปรุงจากผู้ขายที่เชื่อถือได้ เนื่องจากบริษัทความปลอดภัยหลักๆ มีการเพิ่มลายเซ็นการตรวจจับสำหรับตัวแปรของ Atomic Stealer ที่รู้จัก อย่างไรก็ตาม การพัฒนาต่อไปของมัลแวร์อาจทำให้การตรวจจับล่าช้ากว่าตัวแปรใหม่
กลยุทธ์ป้องกัน
การป้องกันต่อต้าน Atomic Stealer และภัยคุกคามอื่น ๆ ที่คล้ายคลึงต้องการแนวทางการรักษาความปลอดภัยหลายชั้นที่รวมมาตรการรักษาความปลอดภัยทางเทคนิคกับการศึกษาผู้ใช้ การป้องกันที่สำคัญที่สุดคือการดาวน์โหลดซอฟต์แวร์จากแหล่งที่มาที่เป็นทางการและแอปสโตร์ที่ตรวจสอบแล้ว หลีกเลี่ยงไซต์ดาวน์โหลดที่สามและที่เก็บทอเรนต์
ผู้ใช้ควรตั้งนโยบายที่เข้มงวดเกี่ยวกับการจัดการ seed phrase โดยไม่ป้อน recovery phrases ในแอปพลิเคชันหรือเว็บไซต์ทั้งสิ้น เว้นแต่ว่ามั่นใจในความถูกต้อง ผู้ผลิตกระเป๋าฮาร์ดแวร์มักเน้นย้ำว่าแอปพลิเคชันที่ถูกต้องจะไม่ขอ seed phrases สำหรับการทำงานตามปกติ
ตรวจสอบความปลอดภัยของแอปพลิเคชันที่ติดตั้งเป็นประจำจะช่วยระบุมาลิแวร์ที่เป็นที่สงสัย ผู้ใช้ควรตรวจทานการอนุญาตของแอปพลิเคชัน การเชื่อมต่อเครือข่าย และการปรับเปลี่ยนระบบที่ทำโดยโปรแกรมที่ติดตั้งใหม่
การรักษาระบบปฏิบัติการและแอปพลิเคชันให้อัปเดตเป็นการแบ็คแพตช์สิ่งที่รู้จักในช่องโหว่ที่ถูกใช้เป็นระยะๆ เปิดใช้งานการอัปเดตอัตโนมัติหากเป็นไปได้จะลดความเสี่ยงเริ่มต้นของการโจมตีผ่านช่องโหว่ที่ปรากฏ
การตอบสนองของอุตสาหกรรมและผลลัพธ์ในอนาคต
อุตสาหกรรมความปลอดภัยของคริปโตได้ตอบสนองต่อภัยคุกคามจาก Atomic Stealer ด้วยการเสริมความสามารถการตรวจจับและการทำแผนการศึกษาให้กับผู้ใช้ ผู้ผลิตกระเป๋าฮาร์ดแวร์กำลังพัฒนากลไกการตรวจสอบเพิ่มเติมเพื่อช่วยให้ผู้ใช้ยืนยันความถูกต้องของแอปพลิเคชัน
นักวิจัยด้านความปลอดภัยยังคงตรวจสอบวิวัฒนาการของภัยคุกคามนี้กับตัวแปรใหม่ๆ ที่ปรากฏขึ้นอย่างสม่ำเสมอ ความสำเร็จของการโจมตีการปลอมแปลงแอปพลิเคชันชี้ให้เห็นว่าเทคนิคคล้ายคลึงกันอาจใช้กับเป้าหมายที่มีความค่าสูงอื่น ๆ นอกเหนือจากแอปพลิเคชันคริปโต
เหตุการณ์นี้เน้นความสำคัญจากการรักษาความระมัดระวังอย่างต่อเนื่องในภูมิทัศน์ความปลอดภัยไซเบอร์ที่เปลี่ยนแปลงอยู่เรื่อยๆ โดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่จัดการคริปโตที่มีมูลค่าสูง ขณะที่สินทรัพย์ดิจิทัลกลายเป็นที่แพร่หลายมากขึ้น การโจมตีที่ซับซ้อนมุ่งเป้าไปที่ทรัพยากรเหล่านี้มีแนวโน้มว่าจะยังคงเพิ่มมากขึ้น
ความคิดสุดท้าย
แคมเปญมัลแวร์ Atomic Stealer เป็นการพัฒนาที่สำคัญในภัยคุกคามที่มุ่งเป้าผู้ใช้คริปโต แสดงให้เห็นว่าโจรไซเบอร์กำลังปรับใช้เทคนิคของพวกเขาเพื่อนำไปสู่การหากำไรจากความไว้วางใจในแอปพลิเคชันที่ถูกต้อง การปลอมแปลงแอปพลิเคชัน Ledger Live ที่ซับซ้อนเน้นถึงความจำเป็นในการพัฒนาการรับรู้ด้านความปลอดภัยและมาตรการป้องกันทางเทคนิคในระบบคริปโต
ผู้ใช้ต้องรักษาความระมัดระวังเกี่ยวกับแหล่งที่มาของซอฟต์แวร์ การจัดการ seed phrase และการปฏิบัติด้านความปลอดภัยทางไซเบอร์ทั่วไปเพื่อปกป้องทรัพย์สินดิจิทัลของพวกเขา ขณะที่ภูมิทัศน์ภัยคุกคามมีการเปลี่ยนแปลงอย่างต่อเนื่อง การรวมการศึกษาให้กับผู้ใช้ การป้องกันด้านเทคนิค และความร่วมมือระหว่างอุตสาหกรรมจะเป็นสิ่งจำเป็นสำหรับการรักษาความปลอดภัยในพื้นที่คริปโต