មេរោគលួចព័ត៌មានថ្មីដែលមានគោលដៅលើឧបករណ៍ Mac ឈ្មោះ ‘Shamos’ កំពុងតែមានគោលដៅលើឧបករណ៍ Mac នៅក្នុងការវាយប្រហារ ClickFix ដែលក្លែងធ្វើជាអ្នកផ្តល់ការណែនាំ និងដំណោះស្រាយបញ្ហា។
មេរោគច្មី ដែលជាអញ្ញត្តិមួយនៃ Atomic macOS Stealer (AMOS) ត្រូវបានអភិវឌ្ឍដោយក្រុមឧក្រិដ្ឋកម្មសាយប័រ “Cookie Spider” និងត្រូវបានប្រើសម្រាប់លួចទិន្នន័យ រួមទាំងអត្តសញ្ញាណដែលរក្សាទុកនៅក្នុង Web Browsers, Keychain Items, Apple Notes និងកាបូបប្រាក់គ្រីបតូ។ CrowdStrike បានរកឃើញ Shamos ហើយរាយការណ៍ថា មេរោគនេះមានបំណងចម្លងមេរោគប្រឆាំងនឹងមជ្ឈដ្ឋានមិនតិចជាង ៣០០ទេនៅទូទាំងពិភពលោក ដែលពួកគេបានពិនិត្យតាំងពីខែមិថុនា ឆ្នាំ២០២៥។
មេរោគនេះត្រូវបានផ្សព្វផ្សាយតាមរយៈការវាយប្រហារ ClickFix ៖ ជនរងគ្រោះត្រូវបានបញ្ចុះបញ្ចូលតាមរយៈការផ្សាយពាណិជ្ជកម្មក្លែងក្លាយ ឬ GitHub Repositories ក្លែងក្លាយ ដែលប្រើការវាយប្រហារ ClickFix ដោយដាស់តឿនអ្នកប្រើប្រាស់ឱ្យប្រតិបត្តិការ Shell Commands នៅក្នុង macOS Terminal។ ហេគឃ័រដាស់តឿនអ្នកប្រើប្រាស់ឱ្យដំណើរការ Commands ទាំងនេះដើម្បីដំឡើងកម្មវិធី ឬដោះស្រាយបញ្ហា Errors ក្លែងក្លាយ ប៉ុន្តែនៅពេលប្រតិបត្តិការ ពួកគេដោនឡូត និងប្រតិបត្តិការមេរោគនៅលើឧបករណ៍ទៅវិញ។ ការផ្សាយពាណិជ្ជកម្ម ឬទំព័រក្លែងក្លាយ (mac-sager.com, rescue-mac.com) បានលើកឡើងពីការផ្តល់ជំនួយដល់អ្នកដែលស្វែងរកដំណោះស្រាយបញ្ហា macOS ដែលនៅក្នុងនោះមានការណែនាំ ហើយនាំពួកគេទៅកូពី និង Paste Command ដើម្បីដោះស្រាយបញ្ហា។ ផ្ទុយពីការដោះស្រាយ Commands ឌីកូដ Base64-encoded URL និងចាប់យក Bash Script ព្យាបាទពីម៉ាស៊ីនមេពីចម្ងាយ។ Script នេះចាប់យកលេខសម្ងាត់របស់អ្នកប្រើប្រាស់ ដោនឡូត Shamos mach-O executable និងរៀបចំ ថែមទាំងប្រតិបត្តិការមេរោគដោយប្រើ ‘xattr’ (លុប Quarantine Flag) និង ‘chmod’ (បង្កើត Binary Executable) ដើម្បីឆ្លងកាត់ប្រព័ន្ធការពារ Gatekeeper។
ការលួចទិន្នន័យ Shamos៖ នៅពេលប្រតិបត្តិការនៅលើឧបករណ៍ មេរោគ Shamos ដំណើរការ anti-VM Commands ដើម្បីផ្ទៀងផ្ទាត់ថា វាមិនមែនកំពុងដំណើរការនៅលើប្រព័ន្ធការពារ Sandbox ទេ តែអនុវត្តតាម AppleScript Commands សម្រាប់ការត្រួតពិនិត្យ និងប្រមូលទិន្នន័យ។ មេរោគ Shamos ស្វែងរកទិន្នន័យសម្ងាត់នៅលើឧបករណ៍រួមមាន ឯកសារកាបូបប្រាក់គ្រីបតូ, Keychain Data, Apple Notes Data និងព័ត៌មានដែលរក្សាទុកនៅលើ Browser របស់ជនរងគ្រោះ។ បន្ទាប់ពីប្រមូលព័ត៌មានរួចរាល់ មេរោគខ្ចប់ទិន្នន័យចូលទៅក្នុង Archive ឈ្មោះ ‘Out.zip’ និងបញ្ជូនពួកវាទៅកាន់អ្នកវាយប្រហារដោយប្រើ Curl។ នៅក្នុងករណីជាច្រើនដែលមេរោគដំណើរការជាមួយនឹង សិទ្ធិពិសេស Sudo វាក៏បង្កើត Plist File (com.finder.helper.plist) និងរក្សាទុកវានៅក្នុង LaunchDaemons Directory របស់អ្នកប្រើប្រាស់ ដែលរក្សាវត្តមានតាមរយៈការប្រតិបត្តិដោយស្វ័យប្រវត្តិនៅលើប្រព័ន្ធ Startup។ CrowdStrike ក៏កត់សម្គាល់ដែរថា មេរោគ Shamos អាចដោនឡូ Payload បន្ថែមនៅក្នុង Home Directory របស់ជនរងគ្រោះ និងបានសង្កេតឃើញករណីជាច្រើនដែលហេគឃ័របានទម្លាក់ Spoofed Ledger Live Wallet App និង Botnet Module។ អ្នកប្រើ MacOS ត្រូវបានណែនាំមិនឱ្យដំណើរការ Commands នៅលើប្រព័ន្ធរបស់ពួកគេដែលពួកគេបានស្វែងរកនៅលើអនឡាញទេ ប្រសិនបើពួកគេមិនយល់ពីអ្វីដែលពួកគេធ្វើនោះ។
ដូចគ្នានេះដែរ អនុវត្តចំពោះ GitHub Repositories ព្រោះ Platform នេះជាម្ចាស់គម្រោងព្យាបាទជាច្រើន ដែលមានបំណងចម្លងមេរោគទៅអ្នកប្រើប្រាស់ដែលគ្មានការសង្ស័យ។ នៅពេលជួបនឹងបញ្ហា macOS ទាំងនេះ អ្នកប្រើគួរតែជៀសវាងឧបត្ថម្ភប្រាក់តាម Search Results ហើយគួរតែស្វែងរកជំនួយតាម Apple Community Forums ដែលសម្របសម្រួលដោយ Apple ឬជំនួយរបស់ប្រព័ន្ធ (cmd+Spaceà “ជំនួយ”)។ ការវាយប្រហារ ClickFix បានពង្រីកតិចនិកនៅក្នុងការចែកចាយមេរោគ ជាមួយនឹងការប្រើពួកវានៅលើ TikTok Videos សម្រាប់បំភាន់ពួកវាជា captchas ឬជាការជួសជុលកំហុស Google Meet ក្លែងក្លាយ។ តិចនិកនេះត្រូវបានបង្ហាញថា ពិតជាប្រសិទ្ធភាពខ្ពស់នៅក្នុងការដាក់ពង្រាយមេរោគ ដែលវាត្រូវបានប្រើនៅក្នុងការវាយប្រហារដោយមេរោគចាប់ជម្រិត ហើយក៏មានប្រើប្រាស់ដោយហេគឃ័រដែលគាំទ្រដោយរដ្ឋាភិបាលផងដែរ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែសីហា ឆ្នាំ២០២៥
