Phần mềm độc hại MacSync

MacSync là một biến thể được đổi tên và nâng cấp của mã độc mac.c stealer, xuất hiện lần đầu vào mùa xuân năm 2025. Chỉ một tháng sau, mã độc này lại xuất hiện dưới cái tên mới. Mặc dù vẫn mang khả năng đánh cắp dữ liệu của phiên bản trước, MacSync đã bổ sung thêm một thành phần cửa hậu. Đáng chú ý, mã độc stealer ban đầu được phát triển bằng ngôn ngữ C, trong khi mô-đun cửa hậu được viết bằng ngôn ngữ Go, cho thấy sự chuyển dịch sang cấu trúc mô-đun và tinh vi hơn.

Lây lan toàn cầu thông qua lừa đảo ClickFix

MacSync đã được phát hiện trên toàn thế giới, với các vụ lây nhiễm tập trung ở Ukraine, Hoa Kỳ, Đức, Anh và Tây Ban Nha. Phần mềm độc hại này chủ yếu được phân phối thông qua các trò lừa đảo ClickFix, lừa nạn nhân thực thi các lệnh độc hại trên hệ thống của họ. Sau khi thực thi, MacSync bắt đầu quá trình xâm nhập bằng cách hiển thị lời nhắc nhập mật khẩu giả nhằm thu thập thông tin đăng nhập của thiết bị.

Chức năng kép: Chống trộm dữ liệu và Điều khiển từ xa

Sau khi bảo mật quyền truy cập, MacSync triển khai backdoor dựa trên Go. Thành phần này kết nối với máy chủ C&C, cho phép kẻ tấn công thực thi lệnh từ xa. Đồng thời, mô-đun đánh cắp dữ liệu sẽ thu thập thông tin nhạy cảm như:

• Hồ sơ cá nhân
• Thông tin đăng nhập
• Ví tiền điện tử

Để tránh bị phát hiện và cản trở việc phân tích, MacSync sử dụng phương pháp làm tối nghĩa mã và xóa các tệp tạm thời được liên kết với hoạt động của nó.

Mục đích của Mô-đun Cửa sau

Cửa hậu được thiết kế để cung cấp cho tội phạm mạng quyền truy cập bí mật vào các hệ thống bị xâm nhập. Cửa hậu của MacSync không chỉ tạo điều kiện cho việc thực thi lệnh từ xa mà còn mở đường cho các mô-đun độc hại bổ sung. Phương pháp tiếp cận mô-đun này làm tăng đáng kể khả năng mở rộng khả năng của phần mềm độc hại và xâm nhập sâu hơn vào các hệ thống bị nhiễm.

Sự phát triển vượt ra ngoài ClickFix

Mặc dù các vụ lừa đảo ClickFix lấy chủ đề Cloudflare vẫn là phương thức lây lan chính, các nhà nghiên cứu cảnh báo rằng MacSync có thể lây lan qua nhiều phương thức khác nhau. Tội phạm mạng thường sử dụng kỹ thuật lừa đảo và kỹ thuật xã hội để ngụy trang phần mềm độc hại thành các tệp hoặc ứng dụng hợp pháp.

Một số kỹ thuật lây nhiễm phổ biến nhất bao gồm:

• Lừa đảo trực tuyến, quảng cáo độc hại và tải xuống lừa đảo
• Các trang web phần mềm miễn phí đáng ngờ, nguồn tải xuống của bên thứ ba và mạng P2P

• Liên kết hoặc tệp đính kèm độc hại trong tin nhắn rác

• Cập nhật giả mạo và kích hoạt phần mềm bất hợp pháp ('crack')

• Lan truyền qua mạng cục bộ và ổ đĩa di động (USB, ổ cứng ngoài, v.v.)

Suy nghĩ cuối cùng

MacSync đánh dấu một bước tiến đáng kể so với phiên bản tiền nhiệm mac.c bằng cách kết hợp các hoạt động đánh cắp dữ liệu với các chức năng cửa hậu. Thiết kế mô-đun và phương thức phân phối rộng rãi khiến nó trở thành một mối đe dọa đặc biệt nguy hiểm. Người dùng nên cảnh giác với các chiến dịch lừa đảo, tải xuống đáng ngờ và lời nhắc cập nhật giả mạo, vì đây vẫn là những cổng chính cho phần mềm độc hại này.