.jpg)
Phần mềm độc hại biên dịch bằng Go
MetaStealer là một loại phần mềm độc hại dựa trên Go có khả năng trốn tránh công nghệ chống virus tích hợp XProtect của Apple, nhắm mục tiêu vào người dùng doanh nghiệp.
Các nhà nghiên cứu tại công ty an ninh mạng SentinelOne cho biết rằng họ đã theo dõi phần mềm độc hại này trong vài tháng qua và nhận thấy các tin tặc sử dụng kỹ nghệ xã hội trong quá trình phân phối của mã độc.
Mặc dù MetaStealer có một số điểm tương đồng với Atomic Stealer, một phần mềm đánh cắp thông tin nhắm mục tiêu khác trên macOS dựa trên Go, nhưng sự trùng lặp mã bị hạn chế và phương thức phân phối cũng khác nhau. Vì vậy, các nhà nghiên cứu SentinelOne kết luận rằng MetaStealer là phần mềm độc hại có những kỹ thuật riêng biệt.
Xuất hiện trên hệ thống macOS
SentinelOne đã tìm thấy một mẫu phần mềm độc hại trên VirusTotal kèm theo bình luận cho biết các tác nhân đe dọa của MetaStealer đang liên hệ với các doanh nghiệp và mạo danh khách hàng của công ty để phân phối phần mềm độc hại.
Theo nhà nghiên cứu bảo mật Phil Stokes của SentinelOne cho biết, các tin tặc đang chủ động nhắm mục tiêu vào các máy tính doanh nghiệp trên macOS, khi giả mạo khách hàng để đánh lừa nạn nhân trên mạng xã hội nhằm phân phối các payload độc hại.
Trong các cuộc tấn công mới đây, MetaStealer được phân phối dưới dạng gói ứng dụng giả mạo ở định dạng ảnh đĩa (DMG), với các mục tiêu được tiếp cận thông qua các tác nhân đe dọa đóng giả là khách hàng thiết kế tiềm năng để chia sẻ kho lưu trữ ZIP được bảo vệ bằng mật khẩu có chứa tệp DMG.
Tệp DMG giả mạo
Trong khi trường hợp khác liên quan đến phần mềm độc hại giả mạo dưới dạng tệp Adobe hoặc trình cài đặt Adobe Photoshop. Bằng chứng thu thập được cho đến nay cho thấy, MetaStealer đã bắt đầu hoạt động vào tháng 3/2023, với mẫu mã độc gần đây nhất đã được tải lên VirusTotal vào ngày 27/8/2023.
Stokes cho biết: “Việc nhắm mục tiêu cụ thể này vào người dùng doanh nghiệp hơi bất thường đối với phần mềm độc hại macOS, thường được phát tán qua các trang web torrent hoặc nhà phân phối phần mềm bên thứ ba đáng ngờ dưới dạng phiên bản bẻ khóa của phần mềm doanh nghiệp hoặc phần mềm phổ biến khác”.
Các gói ứng dụng của phần mềm độc hại chứa các thành phần cơ bản, cụ thể là tệp “Info.plist”, thư mục Resources có hình ảnh biểu tượng và thư mục macOS chứa tệp thực thi “Mach-O” độc hại. Không có mẫu nào được SentinelOne kiểm tra đã được ký số, mặc dù một số phiên bản có ID nhà phát triển Apple.
Nội dung gói ứng dụng độc hại
Khả năng của MetaStealer
MetaStealer cố gắng đánh cắp thông tin được lưu trữ trên các hệ thống bị xâm nhập, bao gồm mật khẩu, tệp và dữ liệu ứng dụng, sau đó cố gắng lọc chúng qua cổng TCP 3000.
Cụ thể, các chức năng của phần mềm độc hại cho phép lọc, thu thập dữ liệu từ iCloud Keychain và trích xuất mật khẩu đã lưu, đánh cắp tệp từ hệ thống và nhắm mục tiêu vào các dịch vụ Telegram và Meta.
MetaStealer nhắm mục tiêu đến Keychain, Telegram và Meta
Keychain là hệ thống quản lý mật khẩu cấp hệ thống dành cho macOS, quản lý thông tin xác thực cho trang web, ứng dụng, mạng Wifi, chứng thư số, khóa mã hóa, thông tin thẻ tín dụng và thậm chí cả ghi chú riêng tư. Do đó, việc lọc nội dung Keychain là một tính năng mạnh mẽ có thể cung cấp cho kẻ tấn công quyền truy cập vào dữ liệu nhạy cảm.
Trong phiên bản hiện tại, MetaStealer chỉ chạy trên kiến trúc Intel x86_64, có nghĩa là nó không thể xâm phạm các hệ thống macOS chạy trên bộ xử lý Apple Silicon (M1, M2) trừ khi nạn nhân sử dụng Rosetta để chạy phần mềm độc hại.
Điều này làm giảm thiểu mối đe dọa và hạn chế số lượng nạn nhân tiềm năng ngày càng giảm khi các máy tính Apple dựa trên Intel đang dần bị loại bỏ. Tuy nhiên, MetaStealer có thể phát hành một phiên bản mới bổ sung hỗ trợ riêng cho Apple Silicon, vì vậy đây là một mối đe dọa cần phải lưu ý.
SentinelOne cho biết họ đã quan sát thấy một số biến thể MetaStealer mạo danh TradingView, chiến thuật tương tự đã được Atomic Stealer áp dụng trong những tuần gần đây. Điều này đặt ra hai khả năng: Có thể cùng một tác giả phần mềm độc hại đứng đằng sau cả hai trình đánh cắp và đã được các tác nhân đe dọa khác nhau áp dụng do sự khác biệt trong cơ chế phân phối hoặc chúng được phát triển bởi các nhóm tin tặc khác nhau.
Stokes cho biết: “Sự xuất hiện của trình đánh cắp thông tin macOS khác trong năm nay cho thấy xu hướng nhắm mục tiêu vào người dùng Mac. Điều khiến MetaStealer trở nên đáng chú ý trong số các phần mềm độc hại gần đây là mục tiêu nhắm vào người dùng doanh nghiệp và đánh cắp Keychain có giá trị cũng như các thông tin khác từ các đối tượng này."
Hồng Đạt
14:00 | 24/07/2023
10:00 | 10/07/2023
08:00 | 19/01/2024
07:00 | 03/07/2023
17:00 | 22/12/2023
14:00 | 21/03/2025
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
14:00 | 19/03/2025
Ngày 17/3, Tổng thống Mexico Claudia Sheinbaum xác nhận một trong những thiết bị di động của bà đã bị tin tặc tấn công vài ngày trước, song cơ quan an ninh thông tin đã vào cuộc và vô hiệu hóa thành công cuộc tấn công này.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
