MacStealer đang được phân phối dưới dạng dịch vụ phần mềm độc hại (MaaS), trong đó các nhà phát triển của phần mềm độc hại này đang rao bán các bản dựng sẵn với giá 100 USD, cho phép người mua phát tán phần mềm độc hại trong các chiến dịch của họ.
Theo nhóm nghiên cứu mối đe dọa của công ty bảo mật Uptycs cho biết, MacStealer chủ yếu ảnh hưởng đến các thiết bị chạy phiên bản macOS Catalina (10.15) cho đến phiên bản mới nhất của Apple, Ventura (13.2).
Nhắm mục tiêu người dùng Mac
MacStealer được phát hiện bởi các nhà nghiên cứu của Uptycs trên một diễn đàn tin tặc, nơi mà các nhà phát triển phần mềm độc hại này đã quảng cáo nó từ đầu tháng 3/2023.
Trên thông báo quảng cáo, các nhà phát triển của MacStealer tuyên bố phần mềm độc hại vẫn đang trong giai đoạn phát triển ở phiên bản beta ban đầu và không cung cấp bảng điều khiển console. Thay vào đó, họ bán các payload DMG bản dựng sẵn có thể lây nhiễm trên macOS Catalina, Big Sur, Monterey và Ventura.
Thông tin quảng cáo MacStealer trên diễn đàn tin tặc
Bên cạnh đó, các nhà phát triển cho biết rằng MacSteale có thể đánh cắp dữ liệu từ các hệ thống bị xâm nhập:
Cơ sở dữ liệu Keychain là một hệ thống lưu trữ an toàn trong macOS chứa mật khẩu, khóa cá nhân và chứng thư số của người dùng, mã hóa nó bằng mật khẩu đăng nhập của họ, sau đó tính năng này có thể tự động nhập thông tin đăng nhập trên các trang web và ứng dụng.
Các tin tặc phân phối MacStealer dưới dạng tệp DMG chưa được ký số, giả mạo một điều gì đó mà nạn nhân bị đánh lừa và thực thi trên macOS của họ. Khi đó, nạn nhân sẽ nhận được lời nhắc mật khẩu giả để chạy lệnh cho phép phần mềm độc hại thu thập mật khẩu từ máy bị xâm nhập.
Chuỗi tấn công của MacStealer
Sau đó, phần mềm độc hại sẽ thu thập dữ liệu và lưu trữ chúng trong tệp ZIP, để gửi dữ liệu bị đánh cắp đến các máy chủ điều khiển và chỉ huy (C2) từ xa do các tin tặc kiểm soát.
Đồng thời, MacStealer gửi một số thông tin cơ bản đến kênh Telegram được cấu hình sẵn, cho phép tin tặc nhận được thông báo nhanh chóng khi dữ liệu mới bị đánh cắp và tải xuống tệp ZIP. Các nhà nghiên cứu Uptycs cho biết phần mềm độc hại này là ví dụ mới nhất về mối đe dọa sử dụng Telegram làm nền tảng ra lệnh và kiểm soát (C2) nhằm đánh cắp dữ liệu.
Tóm tắt dữ liệu bị đánh cắp trên Telegram
Mặc dù hầu hết các hoạt động của MaaS đều nhắm mục tiêu đến người dùng Windows, nhưng macOS không tránh khỏi những mối đe dọa như vậy, vì vậy người dùng nên cảnh giác và tránh tải xuống các tệp từ các trang web không đáng tin cậy.
Cuối tháng 2/2023, nhà nghiên cứu bảo mật Iamdeadlyz cũng đã phát hiện một phần mềm độc hại đánh cắp thông tin Mac được phân phối trong một chiến dịch lừa đảo nhắm mục tiêu đến những người chơi trò chơi blockchain “The Sandbox”. Kẻ đánh cắp thông tin đó cũng nhắm mục tiêu thông tin xác thực được lưu trong trình duyệt và ví tiền điện tử, bao gồm Exodus, Phantom, Atomic, Electrum và MetaMask.
Với việc các ví tiền điện tử đang bị các tin tặc nhắm mục tiêu cao, các nhà phát triển phần mềm độc hại sẽ nhắm mục tiêu vào macOS để tìm kiếm các ví tiền điện tử để đánh cắp trong tương lai.
Hồng Đạt
(Theo Bleepingcomputer)
17:00 | 22/06/2023
13:00 | 09/05/2023
10:00 | 16/02/2023
15:00 | 26/06/2024
10:00 | 04/01/2023
10:00 | 14/04/2023
10:00 | 15/12/2022
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
15:00 | 24/12/2024
Theo thông tin do đội ngũ chuyên gia của Kaspersky chia sẻ, trong nửa đầu năm 2024, số lượng người dùng bị tội phạm mạng nhắm đến, sử dụng mồi nhử là các trò chơi phổ biến dành cho trẻ em đã tăng 30% so với nửa cuối năm 2023. Sau khi phân tích rủi ro tiềm ẩn đến từ các đối tượng trẻ em có sở thích chơi trò chơi điện tử, các nhà nghiên cứu phát hiện hơn 132.000 trường hợp đã trở thành mục tiêu của tội phạm mạng. Bài viết dưới đây sẽ thông tin tới độc giả các nội dung trong báo cáo mới nhất của Kaspersky về thực trạng tội phạm mạng nêu trên.
10:00 | 11/12/2024
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 25/11/2024
Apple vừa phát hành bản cập nhật iOS 18.1.1 và macOS 15.1.1 để khắc phục hai lỗ hổng bảo mật nguy hiểm, đồng thời khuyến cáo người dùng iPhone nên cập nhật càng sớm càng tốt.
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025