มัลแวร์ MacSync แอบขโมยข้อมูลผู้ใช้ Mac แบบเงียบ ๆ

หลายคนยังเชื่อว่า “Mac ปลอดภัยกว่า” จนเผลอชะล่าใจเวลาโหลดไฟล์ติดตั้งจากเว็บภายนอก แต่เคสล่าสุดของ MacSync Stealer กำลังตอกย้ำว่า ผู้โจมตีเริ่ม “เล่นเกมให้เหมือนของจริง” มากขึ้น โดยใช้แอปที่ ถูกเซ็นและผ่านการ notarized ทำให้หน้าตาดูน่าเชื่อถือ และลดโอกาสที่ผู้ใช้จะสงสัยตั้งแต่แรกเห็น

ที่น่ากังวลคือ เวอร์ชันใหม่นี้ไม่ได้บังคับให้ผู้ใช้ต้องไปวางคำสั่งใน Terminal เหมือนแคมเปญเดิม ๆ อีกต่อไป แต่พยายามทำทุกอย่างให้ “เงียบ” และ “อัตโนมัติ” มากขึ้น ส่งผลให้ความเสียหายอาจเกิดขึ้นก่อนที่เจ้าของเครื่องจะเริ่มตั้งคำถามด้วยซ้ำ

ปลอมตัวเป็นไฟล์ติดตั้ง DMG ที่ดูเหมือนจริง 99.99%

ตามรายงาน พบว่า MacSync Stealer ถูกปล่อยมาในรูปแบบไฟล์ติดตั้งที่ทำให้ผู้ใช้รู้สึกว่า “เหมือนโหลดแอปแชท/แอปทำงานทั่วไป” โดยถูกอำพรางเป็นดิสก์อิมเมจชื่อ zk-call-messenger-installer-3.9.2-lts.dmg และชี้นำผ่านเว็บไซต์ปลอม

เมื่อผู้ใช้ติดตั้ง มัลแวร์จะเริ่มกระบวนการดาวน์โหลดและรันสคริปต์ที่ซ่อนอยู่ เพื่อดึงข้อมูลสำคัญจากเครื่องแบบเงียบ ๆ ความแนบเนียนไม่ได้อยู่แค่ชื่อไฟล์ แต่รวมถึงความน่าเชื่อถือด้านความปลอดภัยที่ผู้โจมตีพยายามสร้างขึ้นมาทั้งชุด

ทำไมครั้งนี้ถึงอันตรายกว่าเดิม: แอปถูกเซ็น + ผ่าน Notarization ช่วยลดสัญญาณเตือน

จุดเปลี่ยนสำคัญของ MacSync Stealer รอบนี้คือ ถูกแพ็กมาเป็น Swift application และถูกเซ็นด้วย Apple Developer Team ID GNJLS3UYZ4 ซึ่งช่วยให้หลบ Alert ที่ macOS มักแสดงเมื่อเจอซอฟต์แวร์ไม่น่าไว้ใจ

ในช่วงที่นักวิจัยตรวจพบ ระบุว่า Apple ยังไม่เพิกถอนใบรับรอง ทำให้กระบวนการติดตั้งสามารถผ่านไปได้โดยไม่สะดุด ผู้โจมตียังทำไฟล์ DMG ให้ดูสมจริงขึ้นด้วยการใส่ไฟล์ลวง เช่นไฟล์ PDF ที่เกี่ยวข้องกับ LibreOffice เพื่อให้ขนาดไฟล์ใหญ่และดูมีเนื้อหาเหมือนแพ็กเกจซอฟต์แวร์จริง

กลไกการทำงาน Swift ในการดึงเพย์โหลดรอบถัดไป

รายงานระบุว่า MacSync Stealer ใช้โปรแกรมช่วย (helper) ที่สร้างด้วย Swift ชื่อ runtimectl เพื่อพาเหยื่อเข้าสู่กระบวนการติดเชื้อแบบครบวงจร โดยเริ่มจากการตรวจสอบการเชื่อมต่ออินเทอร์เน็ตผ่านฟังก์ชัน checkInternet() แล้วจึงดาวน์โหลดเพย์โหลดระยะที่สองจากโดเมน gatemaden[.]space ผ่านคำสั่ง curl

สคริปต์ที่ดาวน์โหลดจะถูกบันทึกไว้ที่ /tmp/runner ก่อนตรวจสอบชนิดไฟล์ด้วย /usr/bin/file –mime-type -b เพื่อให้แน่ใจว่าเป็น shell script (text/x-shellscript) จากนั้นจะมีการลบ flag com.apple.quarantine และตั้ง permission เป็น 750 เพื่อให้ไฟล์รันได้

มีการสร้างไฟล์ล็อกที่ ~/Library/Logs/UserSyncWorker.log และไฟล์ติดตามใน ~/Library/Application Support/UserSyncWorker/ เพื่อบันทึกกิจกรรมและควบคุมความถี่การทำงาน โดยกำหนดให้รันได้เพียง ทุก 3600 วินาที (ประมาณ 1 ชั่วโมง) ลดโอกาสถูกจับตาแบบผิดปกติถี่เกินไป

หลังรันสคริปต์เสร็จ ไฟล์ /tmp/runner จะถูกลบทิ้งเพื่อลดร่องรอย และมัลแวร์จะเชื่อมต่อไปยัง focusgroovy[.]com เพื่อดาวน์โหลดเพย์โหลดเพิ่มเติม รวมถึงสื่อสารกับโครงสร้างควบคุม (C2) ของผู้โจมตี

สัญญาณที่ควรเริ่มตรวจสอบทันที หากสงสัยว่าเครื่องอาจโดน MacSync

การตรวจสอบเชิงเทคนิคอาจต้องอาศัยทีมไอทีหรือผู้ดูแลระบบ แต่สำหรับการคัดกรองเบื้องต้น มีจุดสังเกตที่ควรลองตรวจสอบ โดยเฉพาะร่องรอยที่รายงานระบุไว้เกี่ยวกับไฟล์ล็อกและโฟลเดอร์สนับสนุนการทำงานของมัลแวร์

• มีไฟล์ล็อกชื่อ UserSyncWorker.log อยู่ในเส้นทาง ~/Library/Logs/
• มีโฟลเดอร์หรือไฟล์ที่เกี่ยวข้องกับ UserSyncWorker ใน ~/Library/Application Support/
• มีไฟล์ติดตั้ง DMG หรือชื่อแพ็กเกจที่ใกล้เคียงกับ zk-call-messenger-installer-3.9.2-lts.dmg อยู่ในเครื่อง

หากพบสิ่งผิดปกติ ควรหยุดใช้งานไฟล์ดังกล่าวทันที และให้ทีมผู้เชี่ยวชาญตรวจสอบเชิงลึกต่อ เพราะมัลแวร์ประเภท stealer มักเน้น “เอาข้อมูลไปก่อน” แล้วค่อยขยายผลภายหลัง

แนวทางป้องกันสำหรับผู้ใช้ทั่วไปและองค์กร ลดโอกาสติดตั้งของปลอมตั้งแต่ต้นทาง

สำหรับผู้ใช้ทั่วไป ควรยึดหลักง่าย ๆ คือดาวน์โหลดซอฟต์แวร์จากแหล่งทางการเท่านั้น และระวังเว็บไซต์ปลอมที่ทำเหมือนหน้าโปรดักต์จริง ในขณะที่องค์กรควรพิจารณาแนวทาง Policy เช่นการกำหนดมาตรฐานการติดตั้งซอฟต์แวร์, การตรวจสอบแอปที่ไม่อยู่ในรายการอนุญาต (allowlist) และการเฝ้าระวังการเชื่อมต่อออกไปยังโดเมนที่มีพฤติกรรมน่าสงสัย

Reference

Dutta, T. S. (2025, December 23). New MacSync Stealer Malware Attacking macOS Users Using Digitally Signed Apps. Cyber Security News. https://cybersecuritynews.com/new-macsync-stealer-malware/