นับตั้งแต่ Claude Code กลายมาเป็นประเด็นดังจากการที่โค้ดต้นฉบับ (Source Code) ได้รั่วไหลออกมา ตัวเครื่องมือปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) ตัวนี้ก็ได้ถูกแอบอ้างเพื่อการปล่อยมัลแวร์จำนวนมาก แต่ในครั้งนี้มัลแวร์ที่อ้างชื่อ AI ดังกล่าวนั้น กำลังจะถูก AI อีกตัวเจาะจนทะลุปรุโปร่ง

จากรายงานโดยเว็บไซต์ PR Newswire ได้กล่าวถึงการที่ทางรักษาความปลอดภัย Security Operations Center (SOC) ของเว็บไซต์ผู้ให้บริการซื้อขายแลกเปลี่ยนคริปโตเคอร์เรนซี (Exchange) ชื่อดัง Bybit ได้นำเอาเครื่องมือ AI เข้ามาตรวจสอบแคมเปญปล่อยมัลแวร์ AMOS ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มุ่งหน้าเล่นงานผู้ใช้งานระบบปฏิบัติการ macOS ซึ่งการใช้เครื่องมือ AI มาตรวจสอบแคมเปญของมัลแวร์ดังกล่าวเรียกได้ว่าทำได้จนทะลุปรุโปร่งด้วยการทำวิศวกรรมย้อนกลับ (Re-Engineering) โดยสามารถล้วงได้ถึงตัวโครงสร้างพื้นฐาน (Infrastructure) ของระบบควบคุม (C2 หรือ Command and Control), เอกลักษณ์ของไฟล์ (File Signature), พฤติกรรมของมัลแวร์ (Behavior Pattern), วงจรชีวิตของมัลแวร์ (Malware Lifecycle), ตัวบ่งชี้การบุกรุก (Indicators of Compromise หรือ IOC) ทั้งหมดนี้ทำได้ภายในเวลา 40 นาทีเท่านั้น โดยร่นระยะเวลาจากการตรวจสอบแบบเดิมที่ใช้เวลาอย่างน้อย 6 – 8 ชั่วโมง โดยทาง Bybit ได้กล่าวว่า ระบบใหม่นี้ช่วยให้ทางทีมงานสามารถรับมือการบุกรุกจากผู้ไม่ประสงค์ดีได้ไวกว่าการทำงานแบบเดิมถึง 70% เลยทีเดียว

สำหรับแคมเปญการแพร่กระจายมัลแวร์ AMOS ในรอบนี้นั้น ทาง Bybit ได้เปิดเผยว่า แฮกเกอร์ได้ใช้วิธีการวางยาการค้นหา คือ SEO Poisoning ที่จะทำให้ผู้ที่ค้นหาคำว่า Claude Code นั้นพบเว็บไซต์ปลอมของแฮกเกอร์เป็นอันดับแรก ๆ ของการค้นหาแทน ซึ่งภายในเว็บไซต์ปลอมนั้นจะมีการตกแต่งหลายอย่างที่ทำให้ออกมาดูน่าเชื่อถือ เช่น เอกสารเกี่ยวกับเครื่องมือ AI คล้ายกับเว็บไซต์จริง เพื่อหลอกล่อให้เหยื่อทำการดาวน์โหลดไฟล์แอปพลิเคชันปลอมที่ทำหน้าที่เป็นมัลแวร์นกต่อ (Dropper) ซึ่งจะนำไปสู่การฝังตัวของมัลแวร์แบบ 2 ขั้น

ในขั้นแรกนั้น ตัว Dropper ในรูปแบบไฟล์ Mach-O จะทำการรันสคริปท์แบบ osascript เพื่อฝังมัลแวร์ Infostealer อย่าง Amos (ในบางครั้งอาจเป็น Banshee) ลงบนเครื่อง ตามมาด้วยการตีรวนระบบป้องกันภัยไซเบอร์ (Obfuscation) แบบหลายเฟส (Multi-Phase) เพื่อลอบเข้าขโมยข้อมูลสำคัญ เช่น รหัสผ่านต่าง ๆ, รหัสที่ถูกบันทึกไว้บน macOS Keychain, Session การเข้าใช้งานแอปพลิเคชันแชท Telegram, โปรไฟล์การใช้งาน VPN (Virtual Private Network) และข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี (Wallet) ซึ่งมัลแวร์ตัวนี้สามารถขโมยข้อมูลของกระเป๋าแบบใช้งานในรูปแบบส่วนเสริมของเว็บเบราว์เซอร์ (Extension) ได้มากถึง 250 ตัวเลยทีเดียว

ในขั้นที่สอง จะเป็นการปล่อยไฟล์มัลแวร์ (Payload) อีกตัวหนึ่งซึ่งเป็นมัลแวร์ประเภทเปิดประตูหลังของระบบ (Backdoor) ที่ถูกเขียนขึ้นด้วยภาษา C++ ที่มาพร้อมกับความสามารถในการหลบเลี่ยงระบบตรวจจับในระดับสูง ซึ่งรวมถึงระบบตรวจว่ามัลแวร์นั้นทำงานบนสภาวะจำลองแบบ Sandbox หรือไม่ (Sandbox Detection) และการเข้ารหัส (Encryption) ส่วนของการตั้งค่าของ Runtime ของมัลแวร์ มัลแวร์ตัวนี้จะทำการสร้างความคงทนของตัวเองบนระบบ (Persistence) เพื่อให้สามารถทำงานบนระบบได้ตลอดเวลา แล้วทำการติดต่อกับระบบควบคุมด้วยโปรโตคอล HTTP ให้แฮกเกอร์สามารถเข้าควบคุมระบบจากระยะไกล (Remote Control) ได้