หลังจากอาทิตย์ที่ผ่านมา Checkpoint รายงานการพบ malware ใน macOS ที่ชื่อว่า OSX/Dok ล่าสุดทาง Malwarebyte เจอ malware ใน macOS ตัวใหม่ที่ชื่อว่า OSX.Bella

OSX.Bella พฤติกรรมนั้นมีความคล้ายคลึงกับ OSX/Dok แต่มีการติดตั้ง Payload ชนิดที่แตกต่างกันออกไปด้วย

OSX.Bella จะกระจายตัวผ่าน email เหมือนกับ OSX/Dok โดย zip ไฟล์ที่แนบไปด้วยจะมีชื่อว่า Dokument.app พยายามปลอมตัวเองให้เป็น document ซึ่งถูก signed โดย Certificate ของ Developer ที่ถูกต้องของ Apple เช่นกัน (ปัจจุบันถูกถอดถอนไปแล้ว) ซึ่งหาก Upload ขึ้นไปใน Virustotal จะมีการตรวจพบและให้ signature เป็น OSX/Dok.B

พฤติกรรมของ  OSX.Bella นั้นกระทำเหมือนกับ OSX/Dok ในตอนติดตั้งแต่การฝังตัว ไม่ว่าจะเป็นการหลอกให้ user กรอกข้อมูลด้วย popup การเตือนภัยคุกคามและพยายามให้ user update หรือขั้นตอนการลบ AppStore.App ในส่วน LoginItem ก็เช่นกัน แต่สิ่งที่แตกต่างกันออกไปคือเมื่อมีการฝัง malware ลงเครื่องจะใช้ payload ที่ชื่อว่า  Bella ซึ่งถูกสร้างใน Github โดยบุคคลที่ใช้ account ที่ชื่อว่า “Noah” โดย Noah มีความสามารถดังนี้

  • การนำส่งข้อมูล iMessage และ SMS chat ให้กับ Hacker
  • การหาที่อยู่ของเครื่องผ่าน Find My iPhone และ Find My Friends
  • การหลอกให้กรอกรหัสผ่าน
  • การนำส่งข้อมูล keychain ให้กับ Hacker
  • การดักจับข้อมูลการใช้งาน microphone และ webcam
  • การสร้าง screen sh0t และส่ง screenshots กลับไปให้ Hacker
  • เข้าถึง shell ของเครื่องจากระยะไกลและการแชร์ screen

อีกทั้งยังมีความสามารถที่จะเพิ่มสิทธิ์ของ user ให้เป็น root ผ่านช่องโหว่ต่างๆอีกด้วย

Source:: DarkReading.com