MacStealer

Một phần mềm độc hại được phát hiện gần đây có tên MacStealer đang gây ra mối đe dọa cho người dùng hệ điều hành Mac của Apple. Phần mềm độc hại cụ thể này đã được thiết kế để đánh cắp thông tin nhạy cảm từ nạn nhân của nó, bao gồm thông tin xác thực iCloud KeyChain, thông tin đăng nhập trình duyệt web, ví tiền điện tử và các tệp quan trọng khác.

Điều tạo nên MacStealer, đặc biệt đáng lo ngại là nó đang được phân phối dưới dạng nền tảng 'Phần mềm độc hại dưới dạng dịch vụ' (MaaS), có nghĩa là nhà phát triển đang cung cấp các bản dựng phần mềm độc hại được tạo sẵn để bán cho những người khác muốn phát tán nó hơn nữa . Các bản dựng sẵn này có sẵn để mua với giá 100 đô la, giúp các tác nhân độc hại kết hợp phần mềm độc hại vào các chiến dịch của riêng họ dễ dàng hơn.

Theo các nhà nghiên cứu tại Uptycs, người đầu tiên phát hiện ra MacStealer, mối đe dọa này có thể chạy trên macOS Catalina (10.15) và tất cả các phiên bản cho đến gần đây nhất, Ventura (13.2). Điều này có nghĩa là hầu như tất cả người dùng Mac đều có thể dễ bị tấn công bởi phần mềm độc hại này.

MacStealer có thể xâm phạm nhiều loại thông tin nhạy cảm

MacStealer là phần mềm độc hại đã được phát hiện trên một diễn đàn bất hợp pháp của Dark Web, nơi nhà phát triển đã quảng bá nó. Người bán tuyên bố rằng phần mềm độc hại vẫn đang trong giai đoạn phát triển beta ban đầu và do đó, không cung cấp bảng điều khiển hoặc trình tạo. Thay vào đó, phần mềm độc hại được bán dưới dạng tải trọng DMG dựng sẵn có khả năng lây nhiễm macOS Catalina, Big Sur, Monterey và Ventura.

Tác nhân đe dọa tuyên bố rằng mối đe dọa đang được bán với giá quá thấp do thiếu trình tạo hoặc bảng điều khiển nhưng hứa rằng các tính năng nâng cao hơn sẽ sớm được bổ sung. Theo nhà phát triển, MacStealer có khả năng đánh cắp nhiều loại dữ liệu nhạy cảm từ các hệ thống bị xâm nhập.

Chẳng hạn, MacStealer có thể đánh cắp mật khẩu tài khoản, cookie và chi tiết thẻ tín dụng từ các trình duyệt web phổ biến như Firefox, Chrome và Brave. Ngoài ra, nó có thể trích xuất nhiều loại tệp, bao gồm các tệp DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY và DB.

Phần mềm độc hại cũng có khả năng trích xuất cơ sở dữ liệu Keychain (login.keychain-db) ở dạng mã hóa base64. Đây là một hệ thống lưu trữ an toàn trong hệ thống macOS chứa mật khẩu, khóa cá nhân và chứng chỉ của người dùng, mã hóa chúng bằng mật khẩu đăng nhập của họ. Tính năng này có thể tự động nhập thông tin đăng nhập trên các trang web và ứng dụng.

Cuối cùng, MacStealer có thể thu thập thông tin hệ thống, thông tin mật khẩu Keychain và đánh cắp ví tiền điện tử từ nhiều ví tiền điện tử - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet và Binance. Tất cả các tính năng này làm cho MacStealer trở thành một phần mềm độc hại cực kỳ nguy hiểm và đáng lo ngại đối với người dùng Mac.

Quy trình hoạt động của phần mềm độc hại MacStealer

MacStealer được các tác nhân đe dọa phân phối dưới dạng tệp DMG chưa được ký. Tệp này nhằm mục đích ngụy trang dưới dạng một thứ gì đó hợp pháp hoặc mong muốn để lừa nạn nhân thực thi nó trên hệ thống macOS của họ. Sau khi nạn nhân thực thi tệp, lời nhắc mật khẩu giả sẽ xuất hiện, lệnh này sẽ chạy lệnh cho phép phần mềm độc hại thu thập mật khẩu từ máy bị xâm nhập.

Sau khi thu thập mật khẩu, MacStealer tiếp tục thu thập dữ liệu nhạy cảm khác, chẳng hạn như mật khẩu tài khoản, cookie, chi tiết thẻ tín dụng, ví tiền điện tử và các tệp có khả năng nhạy cảm. Sau đó, nó lưu trữ tất cả dữ liệu này trong một tệp ZIP, được gửi đến các máy chủ Command-and-Control từ xa để tác nhân đe dọa thu thập sau này.

Đồng thời, MacStealer gửi thông tin cơ bản cụ thể đến kênh Telegram được định cấu hình trước, kênh này cho phép tác nhân đe dọa nhanh chóng được thông báo mỗi khi dữ liệu mới bị đánh cắp và tải xuống tệp ZIP.

Mặc dù hầu hết các hoạt động của Phần mềm độc hại dưới dạng dịch vụ (MaaS) nhắm mục tiêu đến người dùng Windows, macOS cũng không tránh khỏi các mối đe dọa như vậy. Do đó, điều quan trọng đối với người dùng macOS là luôn cảnh giác và tránh cài đặt tệp từ các trang web không đáng tin cậy. Ngoài ra, người dùng nên cập nhật hệ điều hành và phần mềm bảo mật để bảo vệ khỏi các mối đe dọa mới nhất.