ตามรายงานของ Cryptopolitan เมื่อวันที่ 11 พฤษภาคม ทีมวิจัยความปลอดภัยของ Microsoft Defender เผยผลการสืบสวน พบว่า ผู้โจมตีเริ่มเผยแพร่คำแนะนำปลอมสำหรับการแก้ปัญหา macOS บนแพลตฟอร์มอย่าง Medium และ Craft ตั้งแต่ช่วงปลายปี 2025 โดยหลอกให้ผู้ใช้รันคำสั่งที่เป็นอันตรายในเทอร์มินัล เพื่อทำการติดตั้งมัลแวร์ที่ใช้ขโมยคีย์กระเป๋าเงินเข้ารหัส ข้อมูล iCloud และรหัสผ่านที่เก็บไว้ในเบราว์เซอร์
กลไกการโจมตี: ClickFix ข้ามการป้องกันของ Gatekeeper บน macOS
ตามรายงานของทีมวิจัยความปลอดภัยของ Microsoft Defender ผู้โจมตีใช้เทคนิควิศวกรรมสังคมที่เรียกว่า ClickFix โดยการเผยแพร่คู่มือแก้ปัญหา macOS ที่แอบอ้างบน Medium, Craft และ Squarespace ว่าเป็นวิธี “ปลดล็อก/เพิ่มพื้นที่ว่างในดิสก์” หรือ “ซ่อมข้อผิดพลาดของระบบ” เพื่อชักจูงให้ผู้ใช้คัดลอกคำสั่งที่เป็นอันตรายและวางลงใน macOS Terminal เมื่อคำสั่งทำงานแล้ว มัลแวร์จะดาวน์โหลดและเริ่มทำงานทันที
ตามรายงานของ Microsoft วิธีนี้สามารถหลีกเลี่ยงกลไกความปลอดภัยของ macOS Gatekeeper ได้ เนื่องจาก Gatekeeper จะตรวจสอบลายเซ็นโค้ดและการรับรองผ่านขั้นตอนสำหรับแอปที่เปิดผ่าน Finder แต่การที่ผู้ใช้รันคำสั่งโดยตรงใน Terminal จะไม่ถูกผูกกับขั้นตอนการตรวจสอบดังกล่าว นักวิจัยยังพบว่า ผู้โจมตีใช้ curl, osascript และเครื่องมือดั้งเดิมอื่น ๆ ของ macOS เพื่อรันโค้ดที่เป็นอันตรายในหน่วยความจำโดยตรง (การโจมตีแบบไม่มีไฟล์) ทำให้เครื่องมือป้องกันไวรัสมาตรฐานตรวจจับได้ยาก
ตระกูลมัลแวร์ ขอบเขตการขโมย และกลไกพิเศษ
ตามรายงานของ Microsoft การโจมตีครั้งนี้เกี่ยวข้องกับมัลแวร์ 3 ตระกูล (AMOS, Macsync, SHub Stealer) และโปรแกรมติดตั้ง 3 ประเภท (Loader, Script, Helper) โดยข้อมูลเป้าหมายที่ถูกขโมยได้แก่:
คีย์กระเป๋าเงินเข้ารหัส: Exodus, Ledger, Trezor
ข้อมูลรับรองบัญชี: iCloud, Telegram
รหัสผ่านที่เก็บในเบราว์เซอร์: Chrome, Firefox
ไฟล์และรูปภาพส่วนตัว: ไฟล์ภายในเครื่องที่มีขนาดน้อยกว่า 2 MB
หลังจากติดตั้ง มัลแวร์จะแสดงกล่องสนทนาปลอม เพื่อให้ผู้ใช้ป้อนรหัสผ่านของระบบในการติดตั้ง “เครื่องมือช่วยเหลือ”; หากผู้ใช้ป้อนรหัสผ่าน ผู้โจมตีก็จะเข้าถึงข้อมูลไฟล์ทั้งหมดและการตั้งค่าระบบได้ นอกจากนี้ รายงานของ Microsoft ระบุว่า ในบางกรณี ผู้โจมตีจะลบแอปที่ถูกต้องตามกฎหมายของ Trezor Suite, Ledger Wallet และ Exodus และแทนที่ด้วยเวอร์ชันที่ฝังโทรจันเพื่อเฝ้าติดตามธุรกรรมและขโมยเงินทุน อีกทั้งโปรแกรมที่มัลแวร์โหลดยังมีสวิตช์ยุติการทำงานพิเศษ: หากตรวจพบเลย์เอาต์คีย์บอร์ดภาษา俄語 (ภาษารัสเซีย) มัลแวร์จะหยุดการทำงานโดยอัตโนมัติ
กิจกรรมการโจมตีที่เกี่ยวข้องและมาตรการป้องกันของ Apple
จากการสืบสวนของนักวิจัยด้านความปลอดภัยของ ANY.RUN พบว่า Lazarus Group ได้เริ่มปฏิบัติการแฮ็กที่ชื่อว่า “Mach-O Man” โดยใช้เทคนิคเดียวกับ ClickFix ผ่านการหลอกด้วยคำเชิญประชุมปลอม เพื่อกำหนดเป้าหมายเป็นบริษัทด้านฟินเทคและสกุลเงินดิจิทัล/คริปโตที่ใช้ macOS เป็นระบบปฏิบัติการหลัก
Cryptopolitan รายงานเพิ่มเติมว่า แก๊งแฮ็กเกอร์เกาหลีเหนือที่ชื่อ Famous Chollima ใช้การสร้างโค้ดด้วย AI เพื่อนำแพ็กเกจ npm ที่เป็นอันตรายไปฝังในโปรเจกต์ด้านการเทรดคริปโต มัลแวร์ดังกล่าวใช้สถาปัตยกรรมแบบการทำให้อยู่ในรูปที่สับสนถึง 2 ชั้น เพื่อขโมยข้อมูลกระเป๋าเงินและข้อมูลลับของระบบ
จากรายงาน Apple ได้เพิ่มกลไกป้องกันในเวอร์ชัน macOS 26.4 เพื่อป้องกันไม่ให้คำสั่งที่ถูกทำเครื่องหมายว่าอาจเป็นอันตรายนำไปแปะลงใน macOS Terminal
คำถามที่พบบ่อย
กิจกรรมโจมตี ClickFix บน macOS ที่ Microsoft Defender เปิดเผยเริ่มต้นเมื่อใด และเผยแพร่บนแพลตฟอร์มใดบ้าง?
ตามรายงานของทีมวิจัยความปลอดภัยของ Microsoft Defender และ Cryptopolitan วันที่ 11 พฤษภาคม 2026 การโจมตีเริ่มมีความเคลื่อนไหวตั้งแต่ช่วงปลายปี 2025 โดยผู้โจมตีได้เผยแพร่คู่มือแก้ปัญหา macOS ปลอมบนแพลตฟอร์มอย่าง Medium, Craft และ Squarespace เพื่อหลอกผู้ใช้ Mac ให้รันคำสั่ง Terminal ที่เป็นอันตราย
กิจกรรมโจมตีนีั้กำหนดเป้าหมายไปยังกระเป๋าเงินเข้ารหัสและประเภทข้อมูลใดบ้าง?
ตามรายงานของ Microsoft มัลแวร์ที่เกี่ยวข้อง (AMOS, Macsync, SHub Stealer) สามารถขโมยคีย์กระเป๋าเงินเข้ารหัสของ Exodus, Ledger และ Trezor รวมถึงข้อมูลบัญชีของ iCloud และ Telegram ตลอดจนชื่อผู้ใช้และรหัสผ่านที่เก็บไว้ใน Chrome และ Firefox
Apple ออกมาตรการป้องกันสำหรับการโจมตีลักษณะนี้อย่างไรบ้าง?
จากรายงาน Apple ได้เพิ่มกลไกป้องกันในเวอร์ชัน macOS 26.4 เพื่อบล็อกไม่ให้คำสั่งที่ถูกทำเครื่องหมายว่าอาจเป็นอันตรายถูกนำไปแปะลงใน macOS Terminal ลดโอกาสสำเร็จของการโจมตีแบบวิศวกรรมสังคมประเภท ClickFix
