เมื่อต้นเดือนกุมภาพันธ์ 2563 ทาง Malwarebytes Labs ได้เผยแพร่เอกสาร 2020 State of Malware Report ซึ่งเป็นสรุปภาพรวมภัยคุกคามจากมัลแวร์ในช่วงปี 2562 (ดูรายงานฉบับเต็มได้จาก https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf) รายงานฉบับดังกล่าวระบุว่าพบมัลแวร์โจมตีระบบปฏิบัติการ macOS เพิ่มมากขึ้น ส่วนใหญ่เป็นประเภท adware ซึ่งจุดประสงค์หลักคือการแสดงโฆษณารบกวนการทำงาน แต่ไม่ได้สร้างความเสียหายหนักเหมือนไวรัสหรือมัลแวร์เรียกค่าไถ่ อย่างไรก็ตาม ทาง Malwarebytes ก็พบว่ามัลแวร์ประเภทนี้สามารถสร้างความเสียหายและก่อให้เกิดอันตรายต่อระบบได้ไม่น้อยไปกว่ากัน (หรืออาจจะมากกว่าด้วยซ้ำ)
credit : malwarebytes.com
ทาง Malwarebytes ได้ยกตัวอย่างมัลแวร์ชื่อ Crossrider (รู้จักในชื่อ Bundlore หรือ SurfBuyer) ว่าเป็น adware ที่มีความอันตรายและสร้างความเสียหายให้กับระบบได้ ตัวมัลแวร์แพร่กระจายในลักษณะไฟล์ติดตั้งโปรแกรม (installer) หากเรียกใช้งานไฟล์ดังกล่าวจะมีการดาวน์โหลดโปรแกรมจากอินเทอร์เน็ตมาติดตั้ง โดยระหว่างติดตั้งจะปรากฎหน้าจอสอบถามรหัสผ่านของบัญชีที่ใช้งานอยู่ในขณะนั้น หน้าจอนี้ทำขึ้นมาเลียนแบบหน้าจอสอบถามสิทธิ์ของผู้ดูแลระบบ จุดประสงค์เพื่อเก็บรหัสผ่านไว้ใช้งานต่อในภายหลัง
ในกระบวนการติดตั้ง ตัวมัลแวร์จะติดตั้งส่วนขยาย (extension) ของเบราว์เซอร์ Safari และ Chrome โดยอาศัยรหัสผ่านที่หลอกถามไปก่อนหน้า จุดประสงค์เพื่อแสดงโฆษณา สอดแนมการใช้อินเทอร์เน็ต รวมถึงสามารถเข้าถึงข้อมูลที่ผู้ใช้กรอกในฟอร์มบนหน้าเว็บ เช่น รหัสผ่าน หรือรหัสบัตรเครดิต จากนั้นตัวมัลแวร์จะติดตั้งโพรไฟล์ลงในเครื่องโดยอาศัยไฟล์ .mobileconfig จุดประสงค์เพื่อแก้ไขการตั้งค่าระบบ เช่น เปลี่ยน search engine ของเบราว์เซอร์ เปลี่ยนโฮมเพจ รวมถึงแก้ไขไฟล์ sudoers เพื่อให้ตัวมัลแวร์สามารถทำงานด้วยสิทธิ์ของ root (พฤติกรรมนี้ส่งผลให้มัลแวร์อื่นๆ ที่ถูกติดตั้งหลังจากนี้สามารถทำงานด้วยสิทธิ์ของ root ได้ด้วย)
ต่อมาตัวมัลแวร์จะแก้ไขข้อมูลในไฟล์ TCC.db ซึ่งเป็นไฟล์ฐานข้อมูลที่เกี่ยวข้องกับการตั้งค่า permission ให้กับแอปพลิเคชันในระบบ (เช่น อนุญาตให้เข้าถึงปฏิทิน ไมโครโฟน หรือเว็บแคม) ผลการแก้ไขไฟล์ดังกล่าวจะทำให้ตัวมัลแวร์สามารถสอดแนมการใช้งาน ขโมยข้อมูลสำคัญ รวมถึงสามารถเปลี่ยนแปลงการทำงานของโปรแกรมอื่นในเครื่องได้ด้วย
จากตัวอย่างที่ยกมานี้จะเห็นได้ว่าถึงแม้มัลแวร์ประเภท adware จะไม่ได้มีจุดประสงค์หลักเพื่อสร้างความเสียหายหรือทำลายข้อมูล แต่วิธีการที่มัลแวร์ใช้ติดตั้งตัวเอง รวมถึงแก้ไขการตั้งค่าเพื่อให้ได้สิทธิ์คงอยู่ในระบบต่อนั้นก็เป็นการสร้างจุดอ่อนและเพิ่มความเสี่ยงให้กับระบบได้ ผู้ใช้งานระบบปฏิบัติการ macOS จำเป็นต้องตระหนักและเข้าใจถึงความเสี่ยงของการใช้งานโดยเฉพาะการติดตั้งแอปพลิเคชันจากแหล่งที่มาที่ไม่น่าเชื่อถือ รายละเอียดเพิ่มเติมเกี่ยวกับมัลแวร์ Crossrider สามารถศึกษาได้จากที่มา
