ทำความเข้าใจและหาแนวทางป้องกัน “มัลแวร์บนเครื่องแมค”

          บทความโดย : สุมิต บันซอล ผู้อำนวยการของ Sophos ประจำภูมิภาคอาเซียน และเกาหลี

          เหล่าผู้ใช้ Macbook กำลังเผชิญภัยจากมัลแวร์มากขึ้นอย่างไม่เคยเป็นมาก่อน ซึ่งจากรายงานพยากรณ์สถานะมัลแวร์จากSophosLabs ปีนี้ พบว่ามัลแวร์บนเครื่องแมคฯ ต่างมีพฤติกรรมแสบทรวงไม่แพ้บนวินโดวส์เลย โดยส่วนใหญ่จะแอบเข้ามาฝังตัวเงียบๆ เพื่อดูดข้อมูลอันมีค่าขณะที่คุณไม่ทันรู้ตัว หรือคอยเปิดช่องประตูหลังให้อาชญากรรีโมตเข้ามาทำมิดีมิร้าย รวมถึงการกักไฟล์ของคุณเรียกค่าไถ่
          นอกจากนี้ยังมีพันธุ์ที่ประพฤติตัวแปลกประหลาดอย่างแรนซั่มแวร์ที่ชื่อ FileCode ซึ่งเขียนด้วยภาษา Swift น้องใหม่ที่แอปเปิ้ลเพิ่งเปิดให้นักพัฒนาได้ใช้ FileCode นี้จะเปิดแสดงไฟล์ข้อความที่แจ้งให้ผู้ใช้จ่ายบิทคอยน์ ขณะที่ตัวเองจะเปิดการเชื่อมต่อผ่านอินเทอร์เน็ตให้โจรร้ายสามารถเข้าถึงคอมพิวเตอร์เพื่อรีโมทมาจัดการกับไฟล์ได้ตามอำเภอใจภายใน 24 ชั่วโมง

ทั้งนี้ โซฟอส ได้แนะนำวิธีง่ายๆ ไม่ให้แฟนคลับแอปเปิ้ลตกเป็นเหยื่อของ FileCode ไว้ดังนี้:
          ออกห่างจากเว็บไซต์ที่เอาตัณหามาล่อ โฆษณาว่าจะช่วยให้โปรแกรมถูกลิขสิทธิ์บนเครื่องข้ามขั้นตอนการตรวจไลเซนส์ เพราะ FileCode มักชอบแอบอยู่ตามเว็บไซต์พวกซอฟต์แวร์ฟรีหรือทูลยาแก้ไอผิดกฎหมายต่างๆ โดยเฉพาะตัวแคร๊กสำหรับซอฟต์แวร์ชื่อดังในตลาดFileCode ใช้กลไกการเข้ารหัสที่สามารถถอดออกได้โดยไม่ต้องเสียเงินค่าไถ่ โดยมีทูลฟรีสำหรับถอดรหัสและกู้ไฟล์ให้บริการบนเว็บผู้จำหน่ายระบบความปลอดภัยเต็มไปหมด ขอเพียงคุณยังมีสำเนาของไฟล์ที่ตกเป็นเหยื่อสักไฟล์แบบยังไม่โดนเข้ารหัสสำหรับให้ทูลถอดคีย์ออกมา
          แต่ทว่าเมื่อเร็วๆ นี้ SophosLabs ได้ค้นพบแรนซั่มแวร์บนแมคตัวใหม่ที่รู้จักกันในชื่อ MacRansom ซึ่งมีพฤติกรรมเป็นชุดแรนซั่มแวร์สำเร็จรูปให้นำไปประยุกต์ใช้ได้ทั่วไป หรือ RaaS ทำให้ใครก็ได้ที่ไม่จำเป็นต้องมีความรู้ลึกซึ้งเกี่ยวกับโค้ดโปรแกรมก็สามารถใช้ชุดโค้ดนี้ทำมาหากินด้วยการส่งกระจายให้เหยื่อที่ต้องการได้อย่างง่ายๆ

วิธีการทำงานของ MacRansom
          มัลแวร์ตัวนี้จะติดตั้งตัวเองอย่างเงียบๆ เพื่อทำงานภายในบัญชีผู้ใช้ของผู้ใช้ปัจจุบัน แทนที่จะทำงานแบบกระจายทั่วทั้งระบบ ทำให้ยากที่ผู้ใช้จะสังเกตการมีตัวตนของมัลแวร์ โดยเฉพาะการที่มัลแวร์ใช้ชื่อไฟล์ที่ซ้ำกับชื่อทั่วไปที่มีบนเครื่องแมค แต่เมื่อมัลแวร์รันกันทำงานแล้ว จะเริ่มต้นด้วยการเข้ารหัสไฟล์ของผู้ใช้ แล้วจึงขึ้นเตือนให้ผู้ใช้จ่ายค่าไถ่เพื่อแลกกับคีย์ถอดรหัส ทั้งนี้มัลแวร์จะเข้ารหัสไฟล์ทั้งที่อยู่บนฮาร์ดดิสก์ และบนดิสก์เชื่อมต่อภายนอกไม่ว่าจะเป็นธัมม์ไดรฟ์หรือเอ็กซ์เทอนอลก็ตาม จึงแนะนำให้แบ๊กอัพข้อมูลอย่างน้อยหนึ่งสำเนาแล้วเก็บไว้นอกเครื่อง ในที่ที่ไม่มีการเชื่อมต่อกับภายนอก

แนวทางการป้องกันตัวเองจากภัยแรนซั่มแวร์ ตามแบบฉบับ Sophos:
          แพทช์ให้เร็ว และแพทช์บ่อยๆพิจารณาเลือกใช้โซลูชั่นความปลอดภัยแบบ Next-Gen ที่ครอบคลุม โดยเฉพาะแอนติมัลแวร์และแอนติแรนซั่มแวร์ที่ทันสมัยระวังการเปิดไฟล์แนบที่น่าสงสัย และควรเปิดเอกสารที่มาจากผู้ส่งที่รู้จักเท่านั้นอย่าล็อกอินในฐานะแอดมินฯ ทิ้งไว้นานเกินจำเป็น รวมทั้งหลีกเลี่ยงการท่องเว็บขณะที่ใช้งานในบัญชีแอดมินฯลองใช้โซลูชั่นแอนติไวรัสแบบฟรีอย่าง Sophos Home ซึ่งมีระบบความปลอดภัยระดับธุรกิจที่สามารถปกป้องได้ทั้งพีซีและเครื่องแมค

ทำความเข้าใจและหาแนวทางป้องกัน “มัลแวร์บนเครื่องแมค”

ข่าววินโดวส์+มัลแวร์วันนี้

Kaspersky ตรวจจับไฟล์อันตรายสูงถึง 467,000 ไฟล์ต่อวัน เพิ่ม 14%