ระวัง!!! โทรจันบน Mac ซุกไฟล์ Word
19 เมษายน 2012
Mac OS X ของแอปเปิ้ล (Apple) เพิ่งโดนโจมตีด้วยไวรัส Flashback ไปหมาดๆ (แค่ 700,000+ เครื่องเท่านั้น – -“) แถมยังเพิ่งออกแพตช์อุดช่องโหว่ที่พบในการทำงานของ “จาวา” (Java) แถมยังประกาศกฎเหล็กระงับการทำงานของ Java หากผู้ใช้ไม่ได้มีการเรียกใช้งานเกินกว่า 35 วัน คล้อยหลังไม่ทันได้หนึ่งสัปดาห์หลังจากอุดช่องโหว่ โทรจันตัวใหม่ก็ออกมาอาละวาดโจมตี Mac OS X อีกแล้ว แต่คราวนี้มันอาศัยช่องโหว่ที่พบในไฟล์เอกสาร MS Word อุ๊ปส์!!!
Kaspersky บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยบนคอมพิวเตอร์ และอินเทอร์เน็ตระบุว่า พบการโจมตีของโทรจันตัวใหม่บนระบบปฏิบัติการ Mac OS X อีกแล้ว โดยยังอยู่ในระยะเริ่มต้นเท่านั้น ซึ่งจากรายงานข่าวหลายๆ แหล่ง ระบุแค่ว่า SabPub เป็นโทรจันตัวใหม่ที่สามารถแฝงเข้าไปในเครื่องแมคทีรัน Mac OS X แต่ไม่ได้ให้รายละเอียดถึงที่มาของมัน อย่างไรก็ตาม แหล่งข่าวพบว่า แท้จริงแล้ว พวกมันแฝงมากับไฟล์เอกสารเวิร์ดที่ตรวจพบโทรจันที่อาศัยช่องโหว่ Exploit.MSWord.CVE-2009-0563.a โดยทันทีที่เหยื่อโหลดไฟล์เอกสาร Word อันตราย พวกมันจะทิ้งโทรจันเข้า SabPub ไว้ในเครื่องแมค (นอกจาก SabPub แล้วยังมี MaControl bot อีกด้วย) กล่าวโดยสรุปง่ายๆ ก็คือ โทรจัน SabPub สามารถแฝงอยู่ในไฟล์เอกสาร Word หรือแม้แต่เป็นไฟล์เอกสาร .DOC (ชื่อไฟล์อันตรายนี้คือ 8959.doc) เลยก็ได้
SabPub ก็เหมือนกับโทรจันบนพีซี โดยมันจะแอบขโมยข้อมูลที่อยู่ในเครื่องแมคของเหยื่อส่งไปให้แฮคเกอร์ผู้พัฒนาโทรจันนั่นเอง ทั้งนี้ประเด็นที่คุณผู้อ่านเว็บไซต์ arip ควรระวังก็คือ ยังไม่มีบริษัทใดๆ (Apple หรือ Microsoft) เข้ามาจัดการแก้ไข กำจัด หรือจัดทำแพตช์ใดๆ ออกมาทั้งสิ้น ได้แต่หวังว่า บริษัทใดบริษัทหนึ่งจะรีบจัดการออกแพตช์อุดช่องโหว่ดังกล่าว ก่อนที่มันจะลุกลามไปใหญ่ ในระหว่างนี้ คุณผู้อ่านที่ใช้แมคก็ดูแลตัวเองไปก่อนแล้วกัน โดยเฉพาะเวลาที่ต้องเปิดไฟล์เอกสาร Word โปรดแน่ใจว่า มาจากผู้ส่งที่เชื่อถือได้ และภาวนาให้ทาง Apple ออกแพตช์มาไวๆ ก็แล้วกัน – -” (หากคุณผู้อ่านไปพบชื่อ Sabpab มันก็คือโทรจันตัวเดียวกันนี้แหละครับ แต่ Sabpab ถูกเรียกโดย Sophos และ Intego ครับ)
* SabPub หรือ Sabpab จะทำงานคล้าย Flashback ที่เพิ่งแก้ไขกำจัดกันไป โดยโทรจันตัวใหม่จะไม่ต้องมีการปฏิสัมพันธ์ใดๆ จากผู้ใช้ มันก็สามารถติดเข้าไปได้ เพียงแค่เปิดไฟล์เอกสาร Word ที่มีพวกมันฝังตัวอยู่เท่านั้น ทั้งนี้โทรจันรุ่นใหม่จะยังคงใช้ช่องโหว่จาวาเช่นเดียวกับ Flashback ด้วย พวกมันสามารถเก็บภาพหน้าจอของเครื่องแมคที่ติดไวรัสตัวนี้ เพื่ออัพโหลด และดาวน์โหลดไฟล์ต่างๆ ตลอดจนสั่งให้พวกมันรันคำสั่งที่ต้องการโดยแฮคเกอร์ที่หลบซ่อนตัวอยู่ในอินเทอร์เน็ตได้ น่ากลัวมากๆ ขอบอก
บทความที่เกี่ยวข้อง