MacStealer đang được phân phối dưới dạng dịch vụ phần mềm độc hại (MaaS), trong đó các nhà phát triển của phần mềm độc hại này đang rao bán các bản dựng sẵn với giá 100 USD, cho phép người mua phát tán phần mềm độc hại trong các chiến dịch của họ.
Theo nhóm nghiên cứu mối đe dọa của công ty bảo mật Uptycs cho biết, MacStealer chủ yếu ảnh hưởng đến các thiết bị chạy phiên bản macOS Catalina (10.15) cho đến phiên bản mới nhất của Apple, Ventura (13.2).
Nhắm mục tiêu người dùng Mac
MacStealer được phát hiện bởi các nhà nghiên cứu của Uptycs trên một diễn đàn tin tặc, nơi mà các nhà phát triển phần mềm độc hại này đã quảng cáo nó từ đầu tháng 3/2023.
Trên thông báo quảng cáo, các nhà phát triển của MacStealer tuyên bố phần mềm độc hại vẫn đang trong giai đoạn phát triển ở phiên bản beta ban đầu và không cung cấp bảng điều khiển console. Thay vào đó, họ bán các payload DMG bản dựng sẵn có thể lây nhiễm trên macOS Catalina, Big Sur, Monterey và Ventura.
Thông tin quảng cáo MacStealer trên diễn đàn tin tặc
Bên cạnh đó, các nhà phát triển cho biết rằng MacSteale có thể đánh cắp dữ liệu từ các hệ thống bị xâm nhập:
Cơ sở dữ liệu Keychain là một hệ thống lưu trữ an toàn trong macOS chứa mật khẩu, khóa cá nhân và chứng thư số của người dùng, mã hóa nó bằng mật khẩu đăng nhập của họ, sau đó tính năng này có thể tự động nhập thông tin đăng nhập trên các trang web và ứng dụng.
Các tin tặc phân phối MacStealer dưới dạng tệp DMG chưa được ký số, giả mạo một điều gì đó mà nạn nhân bị đánh lừa và thực thi trên macOS của họ. Khi đó, nạn nhân sẽ nhận được lời nhắc mật khẩu giả để chạy lệnh cho phép phần mềm độc hại thu thập mật khẩu từ máy bị xâm nhập.
Chuỗi tấn công của MacStealer
Sau đó, phần mềm độc hại sẽ thu thập dữ liệu và lưu trữ chúng trong tệp ZIP, để gửi dữ liệu bị đánh cắp đến các máy chủ điều khiển và chỉ huy (C2) từ xa do các tin tặc kiểm soát.
Đồng thời, MacStealer gửi một số thông tin cơ bản đến kênh Telegram được cấu hình sẵn, cho phép tin tặc nhận được thông báo nhanh chóng khi dữ liệu mới bị đánh cắp và tải xuống tệp ZIP. Các nhà nghiên cứu Uptycs cho biết phần mềm độc hại này là ví dụ mới nhất về mối đe dọa sử dụng Telegram làm nền tảng ra lệnh và kiểm soát (C2) nhằm đánh cắp dữ liệu.
Tóm tắt dữ liệu bị đánh cắp trên Telegram
Mặc dù hầu hết các hoạt động của MaaS đều nhắm mục tiêu đến người dùng Windows, nhưng macOS không tránh khỏi những mối đe dọa như vậy, vì vậy người dùng nên cảnh giác và tránh tải xuống các tệp từ các trang web không đáng tin cậy.
Cuối tháng 2/2023, nhà nghiên cứu bảo mật Iamdeadlyz cũng đã phát hiện một phần mềm độc hại đánh cắp thông tin Mac được phân phối trong một chiến dịch lừa đảo nhắm mục tiêu đến những người chơi trò chơi blockchain “The Sandbox”. Kẻ đánh cắp thông tin đó cũng nhắm mục tiêu thông tin xác thực được lưu trong trình duyệt và ví tiền điện tử, bao gồm Exodus, Phantom, Atomic, Electrum và MetaMask.
Với việc các ví tiền điện tử đang bị các tin tặc nhắm mục tiêu cao, các nhà phát triển phần mềm độc hại sẽ nhắm mục tiêu vào macOS để tìm kiếm các ví tiền điện tử để đánh cắp trong tương lai.
Hồng Đạt
(Theo Bleepingcomputer)
13:00 | 09/05/2023
17:00 | 22/06/2023
10:00 | 16/02/2023
10:00 | 14/04/2023
10:00 | 04/01/2023
10:00 | 15/12/2022
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024