ClickLock แทรกซึม macOS ด้วยหน้าต่างขอรหัสผ่านแบบต่อเนื่อง สร้างความเสี่ยงใหม่ให้ผู้ใช้ยุโรป

ที่มาภาพ: TechRadar

Security-อ่าน 7 นาทีTechRadar

ClickLock แทรกซึม macOS ด้วยหน้าต่างขอรหัสผ่านแบบต่อเนื่อง สร้างความเสี่ยงใหม่ให้ผู้ใช้ยุโรป

⚡ สรุป 30 วิ

Group‑IB เผย ClickLock มัลแวร์ Infostealer ที่โจมตี macOS โดยแสดงหน้าต่างขอรหัสผ่านทุก 210 ms ทำให้ผู้ใช้ไม่สามารถใช้งานได้จนกว่าจะกรอกรหัสหรือปิดเครื่อง

Lead paragraph กลุ่มวิจัยความปลอดภัยไซเบอร์ Group‑IB เปิดเผยการทำงานของมัลแวร์ประเภท Infostealer ใหม่ชื่อ ClickLock ซึ่งมุ่งเป้าไปที่ผู้ใช้ระบบปฏิบัติการ macOS ในยุโรป โดยอาศัยเทคนิคสังคมวิศวกรรม (social engineering) ที่ไม่ต้องพึ่งพาโค้ดเอ็กซพลอยต์หรือสิทธิ์ระดับผู้ดูแล ระบบจะบังคับให้ผู้ใช้กรอกรหัสผ่านจนกว่าจะยอมตามใจของตัวโปรแกรม

Overview

ClickLock ถูกจำแนกว่าเป็น “infostealer” แต่ลักษณะการทำงานที่เด่นที่สุดคือการแสดงหน้าต่างขอรหัสผ่านบนหน้าจออย่างต่อเนื่อง โดยจะหยุดทำงานของแอปพลิเคชันหลักเช่น Finder, Dock และ Terminal ทุก ๆ 210 ms ทำให้ผู้ใช้ไม่สามารถดำเนินการใด ๆ ได้ การกระทำนี้จะดำเนินต่อไปเป็นเวลานานหลายวัน (มากกว่า 3 วัน) จนกว่าจะมีผู้ใช้กรอกรหัสผ่านหรือปิดเครื่อง

จากข้อมูลที่ Group‑IB สังเกตพบว่ามัลแวร์ได้เริ่มปรากฏตั้งแต่เดือนพฤษภาคม 2026 และจนถึงตอนนี้ได้รับการบันทึกใน 33 ประเทศ ซึ่งกว่า ครึ่งหนึ่งอยู่ในยุโรป การกระจายของ ClickClick นั้นยังไม่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ใดโดยเฉพาะ แต่คาดว่าใช้แคมเปญสังคมวิศวกรรมที่เรียกว่า ClickFix เพื่อหลอกล่อผู้ใช้ดาวน์โหลดและติดตั้งไฟล์ที่เป็นอันตราย

Operation Mechanics

เมื่อผู้ใช้เปิดไฟล์ที่ได้รับจากแคมเปญ ClickFix ระบบจะทำการรันส่วนประกอบของ ClickLock ที่ฝังอยู่ในโฟลเดอร์ระบบ หลังจากนั้นโปรแกรมจะเริ่มกระบวนการปิดแอปพลิเคชันสำคัญทุก ๆ 210 ms ซึ่งสร้างสภาพแวดล้อมที่ผู้ใช้ไม่สามารถใช้งานเครื่องได้ตามปกติ พร้อมกับแสดงกล่องโต้ตอบขอรหัสผ่านบนหน้าจอซ้ำ ๆ

การออกแบบให้ทำงานในรูปแบบ “loop” นี้มีเป้าหมายเพื่อบังคับใจผู้ใช้ให้ยอมสละข้อมูลรับรองโดยไม่ต้องพึ่งพาเทคนิคเจาะระบบระดับลึก ผู้ที่พยายามปิดกระบวนการด้วยวิธีทั่วไปมักจะพบว่าแอปพลิเคชันหลักยังคงถูกฆ่าอย่างต่อเนื่อง ทำให้ไม่มีทางเข้าถึงเมนูหรือเครื่องมือจัดการกระบวนการได้

ผลลัพธ์สุดท้ายคือผู้ใช้ต้องยอมใส่รหัสผ่านในหน้าต่างที่ดูเหมือนเป็นส่วนหนึ่งของระบบ macOS ซึ่งข้อมูลเหล่านี้จะถูกส่งต่อไปยังเซิร์ฟเวอร์ควบคุมโดยอัตโนมัติ

Data Harvested & Exfiltration

เมื่อได้ข้อมูลรับรองแล้ว ClickLock จะเริ่มรวบรวมข้อมูลหลายประเภทจากเครื่องของเหยื่อ รายการหลักที่พบ ได้แก่

  • ข้อมูลเบราว์เซอร์ต่าง ๆ (Chrome, Firefox, Brave ฯลฯ) รวมถึงคุกกี้, การบันทึกการเข้าสู่ระบบและข้อมูล autofill
  • รายละเอียดกระเป๋าเงินดิจิทัล (cryptocurrency wallets) ทั้งที่เก็บอยู่ในส่วนขยายของเบราว์เซอร์และแอปพลิเคชันภายนอก รวมถึงไฟล์ vault ที่เข้ารหัสซึ่งอาจถูกถอดรหัสต่อภายหลัง
  • รายการจากผู้จัดการรหัสผ่าน (password managers) เช่น ชื่อผู้ใช้, รหัสผ่าน และบันทึกความลับอื่น ๆ
  • การตั้งค่าและประวัติของโปรแกรม FileZilla FTP รวมถึงข้อมูลเซิร์ฟเวอร์ที่เคยเชื่อมต่อ

ข้อมูลทั้งหมดจะถูกบีบอัดเป็นไฟล์ .ZIP แล้วส่งออกทาง Telegram Bot API** ไปยังบัญชีที่ควบคุมโดยผู้โจมตี การใช้ช่องทาง Telegram ทำให้การตรวจจับและบล็อกการส่งข้อมูลมีความซับซ้อนยิ่งขึ้น เนื่องจากบริการนี้ได้รับการยกเว้นจากหลายระบบป้องกันเครือข่าย

Distribution & Detection

ตามที่ Group‑IB รายงาน แคมเปญ ClickFix ที่เป็นแหล่งกระจายหลักของ ClickLock ใช้วิธีส่งอีเมลฟิชชิงพร้อมไฟล์แนบหรือลิงก์ดาวน์โหลดที่ทำให้ผู้ใช้คิดว่าเป็นการอัปเดตซอฟต์แวร์หรือเครื่องมือสนับสนุน macOS อย่างเป็นทางการ การทดลองแรกที่ส่งตัวอย่างของมัลแวร์ไปยัง VirusTotal ในต้นเดือนมิถุนายนไม่ได้รับการตรวจจับจากผู้ให้บริการป้องกันใด ๆ

จนถึงเดือนกรกฎาคม 2026 มีเพียงไม่กี่บริษัทด้านความปลอดภัยเท่านั้นที่อัพเดตฐานข้อมูลของตนเพื่อให้สามารถระบุและบล็อกไฟล์ ClickLock ได้ การปรับปรุงนี้เกิดขึ้นหลังจากได้รับรายงานจากผู้ใช้หลายคนในยุโรปที่เผชิญกับหน้าต่างขอรหัสผ่านซ้ำ ๆ บนอุปกรณ์ macOS ของตน

การกระจายแบบกระจุกศูนย์ (targeted) นี้ทำให้แหล่งข้อมูลของ ClickLock ยังคงอยู่ในระดับที่ยากต่อการตรวจจับโดยเครื่องมือป้องกันทั่วไป จึงต้องอาศัยการเฝ้าระวังและอัปเดตซอฟต์แวร์ป้องกันอย่างต่อเนื่อง

Implications for macOS Users

แม้ว่าผู้ใช้ macOS จะได้รับการยกย่องว่ามีความปลอดภัยสูงกว่าแพลตฟอร์มอื่น ๆ แต่กรณีของ ClickLock แสดงให้เห็นว่า เทคนิคสังคมวิศวกรรม ยังคงเป็นช่องโหว่สำคัญที่ผู้โจมตีสามารถใช้เพื่อบรรลุเป้าหมายได้โดยไม่ต้องพึ่งพาโค้ดเอ็กซพลอยต์หรือการละเมิดสิทธิ์ระดับผู้ดูแล

ผู้ใช้งานควรระมัดระวังการเปิดไฟล์แนบจากอีเมลที่ไม่น่าเชื่อถือ และตรวจสอบว่าหน้าต่างขอรหัสผ่านนั้นเป็นส่วนหนึ่งของระบบจริงหรือไม่ นอกจากนี้ การตั้งค่าการแจ้งเตือนและการจำกัดสิทธิ์การเข้าถึงของแอปพลิเคชันใน System Preferences จะช่วยลดความเสี่ยงต่อการถูกบังคับให้กรอกรหัสผ่านโดยไม่มีเหตุผล

องค์กรที่ใช้ macOS เป็นส่วนหนึ่งของโครงสร้างพื้นฐานควรตรวจสอบและปรับปรุงนโยบายการจัดการซอฟต์แวร์ รวมถึงทำการสแกนระบบอย่างสม่ำเสมอเพื่อค้นหาไฟล์ที่มีลักษณะคล้ายกับ ClickLock และอัปเดตเซ็นเทเจอร์ของเครื่องมือป้องกันให้ทันต่อภัยคุกคามใหม่ ๆ

Summary

ClickLock เป็นมัลแวร์ชนิด Infostealer ที่ใช้สังคมวิศวกรรมเพื่อบังคับให้ผู้ใช้ macOS ให้รหัสผ่านโดยการยุติเกี่ยวกับแอปพลิเคชันหลักทุก 210 ms และส่งข้อมูลสำคัญออกทาง Telegram Bot API ตั้งแต่เดือนพฤษภาคม 2026 จนถึงตอนนี้พบใน 33 ประเทศ ส่วนใหญ่เป็นยุโรป การระบาดของมันเน้นย้ำความจำเป็นในการเสริมสร้างการรับรู้และมาตรการรักษาความปลอดภัยพื้นฐานสำหรับผู้ใช้ macOS ทั้งระดับบุคคลและองค์กร.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
'macOS users may face real, sophisticated threats that require neither exploits nor any elevated access to succeed': ClickLock Stealer tries to trick Apple users into revealing their passwords
ผู้เขียน
Sead Fadilpašić
แหล่ง
TechRadar
วันที่เผยแพร่
17 กรกฎาคม 2569 เวลา 23:05

Related

บทความที่เกี่ยวข้อง

Norton VPN เปิดฟีเจอร์ Split Tunneling บน macOS ให้ผู้ใช้ Mac ยืดหยุ่นเท่า WindowsSecurity
29 มิถุนายน 2569 เวลา 02:00

Norton VPN เปิดฟีเจอร์ Split Tunneling บน macOS ให้ผู้ใช้ Mac ยืดหยุ่นเท่า Windows

Norton VPN เพิ่มฟีเจอร์ split tunneling บน macOS ทำให้ผู้ใช้ Mac สามารถเลือกแอปหรือเว็บไซต์ที่ต้องการส่งผ่าน VPN ได้เอง เพิ่มความเร็วและหลีกเลี่ยงการบล็อก…

TechRadar6 นาที
ชายฟลอริด้าจับกุมหลังฝังมัลแวร์ในเกม Steam ขโมยคริปโตมูลค่า 220,000 ดอลลาร์Security
19 กรกฎาคม 2569 เวลา 21:00

ชายฟลอริด้าจับกุมหลังฝังมัลแวร์ในเกม Steam ขโมยคริปโตมูลค่า 220,000 ดอลลาร์

ผู้ต้องหาอายุ 21 ปีจากฟลอริด้าใช้มัลแวร์ฝังในสี่เกมบน Steam ทำให้คอมพิวเตอร์ประมาณ 8,000 เครื่องติดเชื้อและขโมยคริปโตมูลค่าเกือบ 220,000 ดอลลาร์ FBI…

Tom's Hardware6 นาที
Proton VPN ปฏิเสธข้อมูล 47 คำร้องในปี 2569 ด้วยนโยบาย no‑logs อย่างเคร่งครัดSecurity
18 กรกฎาคม 2569 เวลา 21:00

Proton VPN ปฏิเสธข้อมูล 47 คำร้องในปี 2569 ด้วยนโยบาย no‑logs อย่างเคร่งครัด

Proton VPN ปฏิเสธคำขอข้อมูลจากหน่วยงานสวิสทั้งหมด 47 รายการในไตรมาสแรกของปี 2026 เนื่องจากไม่มีบันทึกใด ๆ ตามนโยบาย no‑logs ของบริษัท…

TechRadar6 นาที
การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่นSecurity
18 กรกฎาคม 2569 เวลา 09:00

การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่น

Nichirei Group ยอมรับว่าระบบคอมพิวเตอร์ถูกแฮ็กโดย ransomware ทำให้การจัดส่งอาหารแช่แข็งและโลจิสติกหยุดชะงัก. KFC…

The Register7 นาที
คัดลอกลิงก์แล้ว!