Phần mềm độc hại biên dịch bằng Go
MetaStealer là một loại phần mềm độc hại dựa trên Go có khả năng trốn tránh công nghệ chống virus tích hợp XProtect của Apple, nhắm mục tiêu vào người dùng doanh nghiệp.
Các nhà nghiên cứu tại công ty an ninh mạng SentinelOne cho biết rằng họ đã theo dõi phần mềm độc hại này trong vài tháng qua và nhận thấy các tin tặc sử dụng kỹ nghệ xã hội trong quá trình phân phối của mã độc.
Mặc dù MetaStealer có một số điểm tương đồng với Atomic Stealer, một phần mềm đánh cắp thông tin nhắm mục tiêu khác trên macOS dựa trên Go, nhưng sự trùng lặp mã bị hạn chế và phương thức phân phối cũng khác nhau. Vì vậy, các nhà nghiên cứu SentinelOne kết luận rằng MetaStealer là phần mềm độc hại có những kỹ thuật riêng biệt.
Xuất hiện trên hệ thống macOS
SentinelOne đã tìm thấy một mẫu phần mềm độc hại trên VirusTotal kèm theo bình luận cho biết các tác nhân đe dọa của MetaStealer đang liên hệ với các doanh nghiệp và mạo danh khách hàng của công ty để phân phối phần mềm độc hại.
Theo nhà nghiên cứu bảo mật Phil Stokes của SentinelOne cho biết, các tin tặc đang chủ động nhắm mục tiêu vào các máy tính doanh nghiệp trên macOS, khi giả mạo khách hàng để đánh lừa nạn nhân trên mạng xã hội nhằm phân phối các payload độc hại.
Trong các cuộc tấn công mới đây, MetaStealer được phân phối dưới dạng gói ứng dụng giả mạo ở định dạng ảnh đĩa (DMG), với các mục tiêu được tiếp cận thông qua các tác nhân đe dọa đóng giả là khách hàng thiết kế tiềm năng để chia sẻ kho lưu trữ ZIP được bảo vệ bằng mật khẩu có chứa tệp DMG.
Tệp DMG giả mạo
Trong khi trường hợp khác liên quan đến phần mềm độc hại giả mạo dưới dạng tệp Adobe hoặc trình cài đặt Adobe Photoshop. Bằng chứng thu thập được cho đến nay cho thấy, MetaStealer đã bắt đầu hoạt động vào tháng 3/2023, với mẫu mã độc gần đây nhất đã được tải lên VirusTotal vào ngày 27/8/2023.
Stokes cho biết: “Việc nhắm mục tiêu cụ thể này vào người dùng doanh nghiệp hơi bất thường đối với phần mềm độc hại macOS, thường được phát tán qua các trang web torrent hoặc nhà phân phối phần mềm bên thứ ba đáng ngờ dưới dạng phiên bản bẻ khóa của phần mềm doanh nghiệp hoặc phần mềm phổ biến khác”.
Các gói ứng dụng của phần mềm độc hại chứa các thành phần cơ bản, cụ thể là tệp “Info.plist”, thư mục Resources có hình ảnh biểu tượng và thư mục macOS chứa tệp thực thi “Mach-O” độc hại. Không có mẫu nào được SentinelOne kiểm tra đã được ký số, mặc dù một số phiên bản có ID nhà phát triển Apple.
Nội dung gói ứng dụng độc hại
Khả năng của MetaStealer
MetaStealer cố gắng đánh cắp thông tin được lưu trữ trên các hệ thống bị xâm nhập, bao gồm mật khẩu, tệp và dữ liệu ứng dụng, sau đó cố gắng lọc chúng qua cổng TCP 3000.
Cụ thể, các chức năng của phần mềm độc hại cho phép lọc, thu thập dữ liệu từ iCloud Keychain và trích xuất mật khẩu đã lưu, đánh cắp tệp từ hệ thống và nhắm mục tiêu vào các dịch vụ Telegram và Meta.
MetaStealer nhắm mục tiêu đến Keychain, Telegram và Meta
Keychain là hệ thống quản lý mật khẩu cấp hệ thống dành cho macOS, quản lý thông tin xác thực cho trang web, ứng dụng, mạng Wifi, chứng thư số, khóa mã hóa, thông tin thẻ tín dụng và thậm chí cả ghi chú riêng tư. Do đó, việc lọc nội dung Keychain là một tính năng mạnh mẽ có thể cung cấp cho kẻ tấn công quyền truy cập vào dữ liệu nhạy cảm.
Trong phiên bản hiện tại, MetaStealer chỉ chạy trên kiến trúc Intel x86_64, có nghĩa là nó không thể xâm phạm các hệ thống macOS chạy trên bộ xử lý Apple Silicon (M1, M2) trừ khi nạn nhân sử dụng Rosetta để chạy phần mềm độc hại.
Điều này làm giảm thiểu mối đe dọa và hạn chế số lượng nạn nhân tiềm năng ngày càng giảm khi các máy tính Apple dựa trên Intel đang dần bị loại bỏ. Tuy nhiên, MetaStealer có thể phát hành một phiên bản mới bổ sung hỗ trợ riêng cho Apple Silicon, vì vậy đây là một mối đe dọa cần phải lưu ý.
SentinelOne cho biết họ đã quan sát thấy một số biến thể MetaStealer mạo danh TradingView, chiến thuật tương tự đã được Atomic Stealer áp dụng trong những tuần gần đây. Điều này đặt ra hai khả năng: Có thể cùng một tác giả phần mềm độc hại đứng đằng sau cả hai trình đánh cắp và đã được các tác nhân đe dọa khác nhau áp dụng do sự khác biệt trong cơ chế phân phối hoặc chúng được phát triển bởi các nhóm tin tặc khác nhau.
Stokes cho biết: “Sự xuất hiện của trình đánh cắp thông tin macOS khác trong năm nay cho thấy xu hướng nhắm mục tiêu vào người dùng Mac. Điều khiến MetaStealer trở nên đáng chú ý trong số các phần mềm độc hại gần đây là mục tiêu nhắm vào người dùng doanh nghiệp và đánh cắp Keychain có giá trị cũng như các thông tin khác từ các đối tượng này."
Hồng Đạt
14:00 | 24/07/2023
10:00 | 10/07/2023
08:00 | 19/01/2024
07:00 | 03/07/2023
17:00 | 22/12/2023
10:00 | 14/05/2024
Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024