Miolab Kẻ trộm
Miolab, hay còn gọi là Nova, là một phần mềm đánh cắp thông tin tiên tiến được thiết kế đặc biệt để nhắm mục tiêu vào người dùng macOS. Được phân phối thông qua các diễn đàn hacker theo mô hình Phần mềm độc hại dưới dạng dịch vụ (MaaS), nó cho phép tội phạm mạng truy cập vào bộ công cụ mạnh mẽ mà không cần kiến thức chuyên môn sâu. Phần mềm độc hại này có khả năng trích xuất dữ liệu nhạy cảm từ các tiện ích mở rộng ví tiền điện tử, trình duyệt web và nhiều ứng dụng quản lý khác nhau, đồng thời thu thập các tập tin trực tiếp từ các hệ thống bị xâm nhập. Việc loại bỏ ngay lập tức sau khi phát hiện là rất quan trọng để giảm thiểu thiệt hại.
Mục lục
Được thiết kế để đạt hiệu quả cao, được chế tạo để né tránh.
Miolab không phải là một phần mềm đánh cắp dữ liệu thông thường; nó tích hợp bảng điều khiển tập trung và các công cụ quản lý tấn công, giúp nâng cao đáng kể mức độ nguy hiểm. Cơ sở hạ tầng này cho phép ngay cả những kẻ tấn công có kỹ năng thấp cũng có thể thực hiện các chiến dịch phức tạp. Kiến trúc nhẹ và được tối ưu hóa của nó giúp tăng cường khả năng lây lan, đảm bảo hiệu suất ổn định trên nhiều môi trường macOS khác nhau và giúp né tránh các cơ chế phát hiện truyền thống.
Chỉ huy và Kiểm soát: Quản lý tấn công được đơn giản hóa
Bảng điều khiển tích hợp cung cấp cho kẻ tấn công cái nhìn tổng quan có cấu trúc về các nạn nhân bị xâm phạm, bao gồm dữ liệu vị trí địa lý và thông tin thu thập được. Nó cũng bao gồm chức năng tái sử dụng các phiên xác thực Google bị đánh cắp, cho phép truy cập tài khoản trái phép mà không cần mật khẩu hoặc bỏ qua trực tiếp xác thực hai yếu tố.
Ngoài ra, Miolab hỗ trợ triển khai các trang phân phối độc hại và các phương pháp tấn công kiểu ClickFix. Người vận hành được hưởng lợi từ các thông báo theo thời gian thực qua Telegram và có thể tự động hóa nhiều giai đoạn trong chiến dịch của họ, tăng hiệu quả hoạt động và quy mô.
Khả năng trích xuất dữ liệu trình duyệt và tiền điện tử
Miolab nhắm mục tiêu mạnh mẽ vào dữ liệu được lưu trữ trên trình duyệt, trích xuất thông tin đăng nhập và thông tin liên quan đến phiên có thể được sử dụng để xâm nhập sâu hơn. Phạm vi hoạt động của nó trải rộng trên cả các trình duyệt phổ biến và chuyên biệt, mở rộng đáng kể phạm vi ảnh hưởng.
- Dữ liệu trình duyệt nhạy cảm được thu thập bao gồm mật khẩu đã lưu, cookie, lịch sử duyệt web và thông tin tự động điền như email và địa chỉ.
- Các bằng chứng xác thực như mã thông báo Google và cookie Safari cũng được thu thập.
Các trình duyệt bị nhắm mục tiêu bao gồm Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex và Coc Coc. - Ngoài trình duyệt, Miolab tập trung mạnh vào tài sản tiền điện tử bằng cách trích xuất các tệp như .dat, .key và .keys từ hơn 200 tiện ích mở rộng ví. Nó cũng nhắm mục tiêu vào các ứng dụng được sử dụng để quản lý ví phần cứng, cho phép đánh cắp dữ liệu khôi phục quan trọng.
- Các công cụ tiền điện tử được nhắm mục tiêu bao gồm Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper và Wasabi Wallet.
- Các ứng dụng như Ledger Live, Ledger Wallet và Trezor Suite được thiết kế đặc biệt để trích xuất cụm từ khôi phục 24 từ.
Vượt ra ngoài trình duyệt: Nhắn tin và khai thác dữ liệu cục bộ
Phần mềm độc hại này mở rộng phạm vi hoạt động sang các ứng dụng liên lạc và năng suất. Nó có thể chiếm quyền kiểm soát các phiên hoạt động trên các nền tảng như Telegram và Discord, cho phép kẻ tấn công truy cập tài khoản mà không cần thông tin đăng nhập. Nó cũng kiểm tra Apple Notes, một nơi phổ biến mà người dùng có thể vô tình lưu trữ thông tin nhạy cảm như mật khẩu hoặc cụm từ khôi phục tiền điện tử.
Sau khi thu thập dữ liệu xong, Miolab nén thông tin đánh cắp được vào một tệp lưu trữ ZIP và truyền tải nó qua HTTP. Để che giấu hoạt động của mình, nó hiển thị một thông báo lỗi giả mạo trên macOS cho biết ứng dụng không thể chạy.
Tác động: Chi phí thực tế của nhiễm trùng
Việc bị nhiễm phần mềm độc hại Miolab có thể dẫn đến những hậu quả nghiêm trọng. Nạn nhân có thể phải chịu tổn thất tài chính do bị đánh cắp tiền điện tử, truy cập tài khoản trái phép, đánh cắp danh tính, tổn hại uy tín và nguy cơ bị nhiễm thêm phần mềm độc hại khác bắt nguồn từ sự xâm nhập ban đầu.
Chuỗi lây nhiễm: Kỹ thuật thao túng tâm lý là cốt lõi
Miolab chủ yếu dựa vào thủ đoạn lừa đảo để xâm nhập hệ thống. Tội phạm mạng phát tán nó thông qua các ứng dụng macOS giả mạo được đóng gói dưới dạng tệp ảnh đĩa (.DMG), được thiết kế cẩn thận để giống với phần mềm hợp pháp. Các trình cài đặt này thường có thương hiệu, biểu tượng và giao diện người dùng rất thuyết phục để tăng độ tin cậy.
Sau khi được thực thi, phần mềm độc hại sẽ khởi động quá trình lây nhiễm nhiều giai đoạn. Nó hiển thị giao diện cài đặt giả mạo, yêu cầu người dùng bỏ qua các cảnh báo bảo mật bằng cách nhấp chuột phải và chọn 'Mở'. Sau đó, nó cố gắng chấm dứt ứng dụng Terminal để hạn chế khả năng quan sát các hoạt động của nó. Một cửa sổ yêu cầu mật khẩu macOS giả mạo được hiển thị, lừa người dùng cung cấp thông tin đăng nhập hệ thống của họ.
Sau khi xác thực mật khẩu, Miolab thu thập thông tin hệ thống, bao gồm thông số kỹ thuật phần cứng và cấu hình phần mềm. Nó tiến hành quét các thư mục quan trọng như Desktop, Documents và Downloads, nhắm mục tiêu vào các tệp như tài liệu, bảng tính, PDF và dữ liệu liên quan đến mật khẩu. Trong quá trình này, người dùng có thể gặp phải các yêu cầu cấp quyền, trong khi phần mềm độc hại âm thầm tổng hợp và chuẩn bị dữ liệu đã thu thập để đánh cắp.
