Phần mềm độc hại biên dịch bằng Go
MetaStealer là một loại phần mềm độc hại dựa trên Go có khả năng trốn tránh công nghệ chống virus tích hợp XProtect của Apple, nhắm mục tiêu vào người dùng doanh nghiệp.
Các nhà nghiên cứu tại công ty an ninh mạng SentinelOne cho biết rằng họ đã theo dõi phần mềm độc hại này trong vài tháng qua và nhận thấy các tin tặc sử dụng kỹ nghệ xã hội trong quá trình phân phối của mã độc.
Mặc dù MetaStealer có một số điểm tương đồng với Atomic Stealer, một phần mềm đánh cắp thông tin nhắm mục tiêu khác trên macOS dựa trên Go, nhưng sự trùng lặp mã bị hạn chế và phương thức phân phối cũng khác nhau. Vì vậy, các nhà nghiên cứu SentinelOne kết luận rằng MetaStealer là phần mềm độc hại có những kỹ thuật riêng biệt.
Xuất hiện trên hệ thống macOS
SentinelOne đã tìm thấy một mẫu phần mềm độc hại trên VirusTotal kèm theo bình luận cho biết các tác nhân đe dọa của MetaStealer đang liên hệ với các doanh nghiệp và mạo danh khách hàng của công ty để phân phối phần mềm độc hại.
Theo nhà nghiên cứu bảo mật Phil Stokes của SentinelOne cho biết, các tin tặc đang chủ động nhắm mục tiêu vào các máy tính doanh nghiệp trên macOS, khi giả mạo khách hàng để đánh lừa nạn nhân trên mạng xã hội nhằm phân phối các payload độc hại.
Trong các cuộc tấn công mới đây, MetaStealer được phân phối dưới dạng gói ứng dụng giả mạo ở định dạng ảnh đĩa (DMG), với các mục tiêu được tiếp cận thông qua các tác nhân đe dọa đóng giả là khách hàng thiết kế tiềm năng để chia sẻ kho lưu trữ ZIP được bảo vệ bằng mật khẩu có chứa tệp DMG.
Tệp DMG giả mạo
Trong khi trường hợp khác liên quan đến phần mềm độc hại giả mạo dưới dạng tệp Adobe hoặc trình cài đặt Adobe Photoshop. Bằng chứng thu thập được cho đến nay cho thấy, MetaStealer đã bắt đầu hoạt động vào tháng 3/2023, với mẫu mã độc gần đây nhất đã được tải lên VirusTotal vào ngày 27/8/2023.
Stokes cho biết: “Việc nhắm mục tiêu cụ thể này vào người dùng doanh nghiệp hơi bất thường đối với phần mềm độc hại macOS, thường được phát tán qua các trang web torrent hoặc nhà phân phối phần mềm bên thứ ba đáng ngờ dưới dạng phiên bản bẻ khóa của phần mềm doanh nghiệp hoặc phần mềm phổ biến khác”.
Các gói ứng dụng của phần mềm độc hại chứa các thành phần cơ bản, cụ thể là tệp “Info.plist”, thư mục Resources có hình ảnh biểu tượng và thư mục macOS chứa tệp thực thi “Mach-O” độc hại. Không có mẫu nào được SentinelOne kiểm tra đã được ký số, mặc dù một số phiên bản có ID nhà phát triển Apple.
Nội dung gói ứng dụng độc hại
Khả năng của MetaStealer
MetaStealer cố gắng đánh cắp thông tin được lưu trữ trên các hệ thống bị xâm nhập, bao gồm mật khẩu, tệp và dữ liệu ứng dụng, sau đó cố gắng lọc chúng qua cổng TCP 3000.
Cụ thể, các chức năng của phần mềm độc hại cho phép lọc, thu thập dữ liệu từ iCloud Keychain và trích xuất mật khẩu đã lưu, đánh cắp tệp từ hệ thống và nhắm mục tiêu vào các dịch vụ Telegram và Meta.
MetaStealer nhắm mục tiêu đến Keychain, Telegram và Meta
Keychain là hệ thống quản lý mật khẩu cấp hệ thống dành cho macOS, quản lý thông tin xác thực cho trang web, ứng dụng, mạng Wifi, chứng thư số, khóa mã hóa, thông tin thẻ tín dụng và thậm chí cả ghi chú riêng tư. Do đó, việc lọc nội dung Keychain là một tính năng mạnh mẽ có thể cung cấp cho kẻ tấn công quyền truy cập vào dữ liệu nhạy cảm.
Trong phiên bản hiện tại, MetaStealer chỉ chạy trên kiến trúc Intel x86_64, có nghĩa là nó không thể xâm phạm các hệ thống macOS chạy trên bộ xử lý Apple Silicon (M1, M2) trừ khi nạn nhân sử dụng Rosetta để chạy phần mềm độc hại.
Điều này làm giảm thiểu mối đe dọa và hạn chế số lượng nạn nhân tiềm năng ngày càng giảm khi các máy tính Apple dựa trên Intel đang dần bị loại bỏ. Tuy nhiên, MetaStealer có thể phát hành một phiên bản mới bổ sung hỗ trợ riêng cho Apple Silicon, vì vậy đây là một mối đe dọa cần phải lưu ý.
SentinelOne cho biết họ đã quan sát thấy một số biến thể MetaStealer mạo danh TradingView, chiến thuật tương tự đã được Atomic Stealer áp dụng trong những tuần gần đây. Điều này đặt ra hai khả năng: Có thể cùng một tác giả phần mềm độc hại đứng đằng sau cả hai trình đánh cắp và đã được các tác nhân đe dọa khác nhau áp dụng do sự khác biệt trong cơ chế phân phối hoặc chúng được phát triển bởi các nhóm tin tặc khác nhau.
Stokes cho biết: “Sự xuất hiện của trình đánh cắp thông tin macOS khác trong năm nay cho thấy xu hướng nhắm mục tiêu vào người dùng Mac. Điều khiến MetaStealer trở nên đáng chú ý trong số các phần mềm độc hại gần đây là mục tiêu nhắm vào người dùng doanh nghiệp và đánh cắp Keychain có giá trị cũng như các thông tin khác từ các đối tượng này."
Hồng Đạt
14:00 | 24/07/2023
10:00 | 10/07/2023
08:00 | 19/01/2024
07:00 | 03/07/2023
17:00 | 22/12/2023
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024