239
#1
Trong quá trình phân tích các malware macOS đáng chú ý, các nhà nghiên cứu bảo mật tại Moonlock đã phát hiện ra một malware có mức độ tinh vi đáng báo động. Dưới vỏ bọc của tựa game chưa phát hành GTA6, sau khi được cài đặt, phần mềm độc hại sẽ thực thi các kỹ thuật khá thông minh để trích xuất thông tin nhạy cảm, chẳng hạn như mật khẩu từ Keychain nội bộ của người dùng.
Phần mềm độc hại được thiết kế đặc biệt để nhắm mục tiêu vào macOS tiếp tục tăng lên khi Mac ngày càng phổ biến. Năm ngoái, 21 phần mềm độc hại mới đã được phát hiện trên thực tế, tăng 50% so với năm 2022.
Bất chấp thực tế này, vẫn tồn tại một quan niệm sai lầm phổ biến rằng máy Apple “miễn nhiễm” trước phần mềm độc hại. Không chỉ số lượng các cuộc tấn công bằng phần mềm độc hại ngày càng tăng mà chúng còn trở nên tinh vi hơn bao giờ hết.
Trong quá trình phân tích, Moonlock, bộ phận an ninh mạng của MacPaw, nhận thấy mẫu phần mềm độc hại mới là một biến thể của phần mềm đánh cắp mật khẩu (PSW), một loại phần mềm độc hại trojan được thiết kế để thu thập thông tin đăng nhập và mật khẩu từ các máy bị nhiễm và gửi chúng trở lại hacker thông qua kết nối từ xa hoặc email.
Các nhà nghiên cứu nhận thấy phần mềm độc hại ngụy trang dưới dạng bản sao của GTA6 hoặc phiên bản lậu của Notion. Đây là một thủ thuật kỹ thuật xã hội phổ biến nhằm khai thác lòng tin bằng cách sử dụng thuật ngữ quen thuộc để đánh lừa người dùng tải xuống phần mềm độc hại.
Đáng chú ý, tất cả các máy Mac đều được cài đặt sẵn phiên bản macOS Gatekeeper hoạt động ở chế độ nền để ngăn người dùng tải xuống các ứng dụng chưa được kiểm duyệt từ Internet có thể chứa phần mềm độc hại. Tuy nhiên, người dùng có thể vượt tính năng bảo mật này bằng cách nhấp chuột phải vào tệp DMG và nhấn “Mở”. Tội phạm mạng khai thác sự dễ dàng này bằng cách đưa vào một hình ảnh hướng dẫn người dùng cách mở tệp độc hại.
Sau khi thực thi, DMG sẽ giải phóng tệp có tên AppleApp.
“Sau đó, AppleApp bắt đầu yêu cầu GET tới một URL cụ thể có nguồn gốc từ địa chỉ IP của Nga. Nếu kết nối thành công, chương trình sẽ bắt đầu tải xuống payload (một phần của malware) AppleScript và Bash. Payload này được thực thi trực tiếp từ bộ nhớ ứng dụng, bỏ qua hệ thống tệp,” Moonlock nêu trong một bài đăng trên blog về những phát hiện này.
Khi được thực thi, payload sử dụng cách tiếp cận nhiều mặt để đạt được các mục tiêu độc hại của nó. Theo thứ tự này:
- Lừa đảo để lấy thông tin xác thực
- Nhắm mục tiêu dữ liệu nhạy cảm
- Hồ sơ hệ thống
- Lọc dữ liệu
Vì cơ sở dữ liệu Kaychain cục bộ chỉ có thể truy cập được bằng mật khẩu hệ thống của người dùng nên phần mềm độc hại sẽ thực hiện kỹ thuật thông minh thứ hai. Nó triển khai một cửa sổ cài đặt ứng dụng trợ giúp giả mạo, khai thác sâu hơn lòng tin và lừa người dùng tiết lộ mật khẩu của họ.
Phần mềm độc hại lúc này đã có thể bắt đầu nhắm mục tiêu vào cơ sở dữ liệu Keychain và nhiều nguồn dữ liệu nhạy cảm khác.
Mặc dù chỉ có khoảng 6% tổng số phần mềm độc hại nhắm mục tiêu vào người dùng Mac, nhưng chúng đang có dấu hiệu gia tăng hơn bao giờ hết. Điều quan trọng là phải luôn cảnh giác và tiếp tục sử dụng các biện pháp bảo vệ phổ biến trên Internet như chỉ cài từ App Store, không làm theo hướng dẫn của ứng dụng để vượt Gatekeeper, thận trọng với bất kỳ yêu cầu nào về thông tin nhạy cảm, luôn cập nhật thiết bị để bảo vệ khỏi các lỗ hổng bảo mật.
Xem thêm:
