
ที่มาภาพ: TechRadar
ClickLock แทรกซึม macOS ด้วยหน้าต่างขอรหัสผ่านแบบต่อเนื่อง สร้างความเสี่ยงใหม่ให้ผู้ใช้ยุโรป
⚡ สรุป 30 วิ
Group‑IB เผย ClickLock มัลแวร์ Infostealer ที่โจมตี macOS โดยแสดงหน้าต่างขอรหัสผ่านทุก 210 ms ทำให้ผู้ใช้ไม่สามารถใช้งานได้จนกว่าจะกรอกรหัสหรือปิดเครื่อง
Lead paragraph กลุ่มวิจัยความปลอดภัยไซเบอร์ Group‑IB เปิดเผยการทำงานของมัลแวร์ประเภท Infostealer ใหม่ชื่อ ClickLock ซึ่งมุ่งเป้าไปที่ผู้ใช้ระบบปฏิบัติการ macOS ในยุโรป โดยอาศัยเทคนิคสังคมวิศวกรรม (social engineering) ที่ไม่ต้องพึ่งพาโค้ดเอ็กซพลอยต์หรือสิทธิ์ระดับผู้ดูแล ระบบจะบังคับให้ผู้ใช้กรอกรหัสผ่านจนกว่าจะยอมตามใจของตัวโปรแกรม
Overview
ClickLock ถูกจำแนกว่าเป็น “infostealer” แต่ลักษณะการทำงานที่เด่นที่สุดคือการแสดงหน้าต่างขอรหัสผ่านบนหน้าจออย่างต่อเนื่อง โดยจะหยุดทำงานของแอปพลิเคชันหลักเช่น Finder, Dock และ Terminal ทุก ๆ 210 ms ทำให้ผู้ใช้ไม่สามารถดำเนินการใด ๆ ได้ การกระทำนี้จะดำเนินต่อไปเป็นเวลานานหลายวัน (มากกว่า 3 วัน) จนกว่าจะมีผู้ใช้กรอกรหัสผ่านหรือปิดเครื่อง
จากข้อมูลที่ Group‑IB สังเกตพบว่ามัลแวร์ได้เริ่มปรากฏตั้งแต่เดือนพฤษภาคม 2026 และจนถึงตอนนี้ได้รับการบันทึกใน 33 ประเทศ ซึ่งกว่า ครึ่งหนึ่งอยู่ในยุโรป การกระจายของ ClickClick นั้นยังไม่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ใดโดยเฉพาะ แต่คาดว่าใช้แคมเปญสังคมวิศวกรรมที่เรียกว่า ClickFix เพื่อหลอกล่อผู้ใช้ดาวน์โหลดและติดตั้งไฟล์ที่เป็นอันตราย
Operation Mechanics
เมื่อผู้ใช้เปิดไฟล์ที่ได้รับจากแคมเปญ ClickFix ระบบจะทำการรันส่วนประกอบของ ClickLock ที่ฝังอยู่ในโฟลเดอร์ระบบ หลังจากนั้นโปรแกรมจะเริ่มกระบวนการปิดแอปพลิเคชันสำคัญทุก ๆ 210 ms ซึ่งสร้างสภาพแวดล้อมที่ผู้ใช้ไม่สามารถใช้งานเครื่องได้ตามปกติ พร้อมกับแสดงกล่องโต้ตอบขอรหัสผ่านบนหน้าจอซ้ำ ๆ
การออกแบบให้ทำงานในรูปแบบ “loop” นี้มีเป้าหมายเพื่อบังคับใจผู้ใช้ให้ยอมสละข้อมูลรับรองโดยไม่ต้องพึ่งพาเทคนิคเจาะระบบระดับลึก ผู้ที่พยายามปิดกระบวนการด้วยวิธีทั่วไปมักจะพบว่าแอปพลิเคชันหลักยังคงถูกฆ่าอย่างต่อเนื่อง ทำให้ไม่มีทางเข้าถึงเมนูหรือเครื่องมือจัดการกระบวนการได้
ผลลัพธ์สุดท้ายคือผู้ใช้ต้องยอมใส่รหัสผ่านในหน้าต่างที่ดูเหมือนเป็นส่วนหนึ่งของระบบ macOS ซึ่งข้อมูลเหล่านี้จะถูกส่งต่อไปยังเซิร์ฟเวอร์ควบคุมโดยอัตโนมัติ
Data Harvested & Exfiltration
เมื่อได้ข้อมูลรับรองแล้ว ClickLock จะเริ่มรวบรวมข้อมูลหลายประเภทจากเครื่องของเหยื่อ รายการหลักที่พบ ได้แก่
- ข้อมูลเบราว์เซอร์ต่าง ๆ (Chrome, Firefox, Brave ฯลฯ) รวมถึงคุกกี้, การบันทึกการเข้าสู่ระบบและข้อมูล autofill
- รายละเอียดกระเป๋าเงินดิจิทัล (cryptocurrency wallets) ทั้งที่เก็บอยู่ในส่วนขยายของเบราว์เซอร์และแอปพลิเคชันภายนอก รวมถึงไฟล์ vault ที่เข้ารหัสซึ่งอาจถูกถอดรหัสต่อภายหลัง
- รายการจากผู้จัดการรหัสผ่าน (password managers) เช่น ชื่อผู้ใช้, รหัสผ่าน และบันทึกความลับอื่น ๆ
- การตั้งค่าและประวัติของโปรแกรม FileZilla FTP รวมถึงข้อมูลเซิร์ฟเวอร์ที่เคยเชื่อมต่อ
ข้อมูลทั้งหมดจะถูกบีบอัดเป็นไฟล์ .ZIP แล้วส่งออกทาง Telegram Bot API** ไปยังบัญชีที่ควบคุมโดยผู้โจมตี การใช้ช่องทาง Telegram ทำให้การตรวจจับและบล็อกการส่งข้อมูลมีความซับซ้อนยิ่งขึ้น เนื่องจากบริการนี้ได้รับการยกเว้นจากหลายระบบป้องกันเครือข่าย
Distribution & Detection
ตามที่ Group‑IB รายงาน แคมเปญ ClickFix ที่เป็นแหล่งกระจายหลักของ ClickLock ใช้วิธีส่งอีเมลฟิชชิงพร้อมไฟล์แนบหรือลิงก์ดาวน์โหลดที่ทำให้ผู้ใช้คิดว่าเป็นการอัปเดตซอฟต์แวร์หรือเครื่องมือสนับสนุน macOS อย่างเป็นทางการ การทดลองแรกที่ส่งตัวอย่างของมัลแวร์ไปยัง VirusTotal ในต้นเดือนมิถุนายนไม่ได้รับการตรวจจับจากผู้ให้บริการป้องกันใด ๆ
จนถึงเดือนกรกฎาคม 2026 มีเพียงไม่กี่บริษัทด้านความปลอดภัยเท่านั้นที่อัพเดตฐานข้อมูลของตนเพื่อให้สามารถระบุและบล็อกไฟล์ ClickLock ได้ การปรับปรุงนี้เกิดขึ้นหลังจากได้รับรายงานจากผู้ใช้หลายคนในยุโรปที่เผชิญกับหน้าต่างขอรหัสผ่านซ้ำ ๆ บนอุปกรณ์ macOS ของตน
การกระจายแบบกระจุกศูนย์ (targeted) นี้ทำให้แหล่งข้อมูลของ ClickLock ยังคงอยู่ในระดับที่ยากต่อการตรวจจับโดยเครื่องมือป้องกันทั่วไป จึงต้องอาศัยการเฝ้าระวังและอัปเดตซอฟต์แวร์ป้องกันอย่างต่อเนื่อง
Implications for macOS Users
แม้ว่าผู้ใช้ macOS จะได้รับการยกย่องว่ามีความปลอดภัยสูงกว่าแพลตฟอร์มอื่น ๆ แต่กรณีของ ClickLock แสดงให้เห็นว่า เทคนิคสังคมวิศวกรรม ยังคงเป็นช่องโหว่สำคัญที่ผู้โจมตีสามารถใช้เพื่อบรรลุเป้าหมายได้โดยไม่ต้องพึ่งพาโค้ดเอ็กซพลอยต์หรือการละเมิดสิทธิ์ระดับผู้ดูแล
ผู้ใช้งานควรระมัดระวังการเปิดไฟล์แนบจากอีเมลที่ไม่น่าเชื่อถือ และตรวจสอบว่าหน้าต่างขอรหัสผ่านนั้นเป็นส่วนหนึ่งของระบบจริงหรือไม่ นอกจากนี้ การตั้งค่าการแจ้งเตือนและการจำกัดสิทธิ์การเข้าถึงของแอปพลิเคชันใน System Preferences จะช่วยลดความเสี่ยงต่อการถูกบังคับให้กรอกรหัสผ่านโดยไม่มีเหตุผล
องค์กรที่ใช้ macOS เป็นส่วนหนึ่งของโครงสร้างพื้นฐานควรตรวจสอบและปรับปรุงนโยบายการจัดการซอฟต์แวร์ รวมถึงทำการสแกนระบบอย่างสม่ำเสมอเพื่อค้นหาไฟล์ที่มีลักษณะคล้ายกับ ClickLock และอัปเดตเซ็นเทเจอร์ของเครื่องมือป้องกันให้ทันต่อภัยคุกคามใหม่ ๆ
Summary
ClickLock เป็นมัลแวร์ชนิด Infostealer ที่ใช้สังคมวิศวกรรมเพื่อบังคับให้ผู้ใช้ macOS ให้รหัสผ่านโดยการยุติเกี่ยวกับแอปพลิเคชันหลักทุก 210 ms และส่งข้อมูลสำคัญออกทาง Telegram Bot API ตั้งแต่เดือนพฤษภาคม 2026 จนถึงตอนนี้พบใน 33 ประเทศ ส่วนใหญ่เป็นยุโรป การระบาดของมันเน้นย้ำความจำเป็นในการเสริมสร้างการรับรู้และมาตรการรักษาความปลอดภัยพื้นฐานสำหรับผู้ใช้ macOS ทั้งระดับบุคคลและองค์กร.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- 'macOS users may face real, sophisticated threats that require neither exploits nor any elevated access to succeed': ClickLock Stealer tries to trick Apple users into revealing their passwords
- ผู้เขียน
- Sead Fadilpašić
- แหล่ง
- TechRadar
- วันที่เผยแพร่
- 17 กรกฎาคม 2569 เวลา 23:05



