Ngày 27 tháng 3 năm 2023Ravie LakshmananAn toàn dữ liệu / Bảo mật điểm cuối
Một phần mềm độc hại đánh cắp thông tin mới đã nhắm vào hệ điều hành macOS của Apple để hút thông tin nhạy cảm từ các thiết bị bị xâm nhập.
mệnh danh MacStealer, đây là ví dụ mới nhất về mối đe dọa sử dụng Telegram làm nền tảng ra lệnh và kiểm soát (C2) để lấy cắp dữ liệu. Nó chủ yếu ảnh hưởng đến các thiết bị chạy phiên bản macOS Catalina trở lên chạy trên CPU M1 và M2.
“MacStealer có khả năng đánh cắp tài liệu, cookie từ trình duyệt của nạn nhân và thông tin đăng nhập,” các nhà nghiên cứu của Uptycs, Shilpesh Trivedi và Pratik Jeware cho biết trong một báo cáo mới.
Lần đầu tiên được quảng cáo trên các diễn đàn hack trực tuyến vào đầu tháng, nó vẫn đang trong quá trình hoàn thiện, với việc các tác giả phần mềm độc hại có kế hoạch thêm các tính năng để thu thập dữ liệu từ trình duyệt Safari của Apple và ứng dụng Ghi chú.
Ở dạng hiện tại, MacStealer được thiết kế để trích xuất dữ liệu iCloud Keychain, mật khẩu và thông tin thẻ tín dụng từ các trình duyệt như Google Chrome, Mozilla Firefox và Brave. Nó cũng có tính năng hỗ trợ thu thập các tệp Microsoft Office, hình ảnh, tài liệu lưu trữ và tập lệnh Python.
Phương pháp chính xác được sử dụng để phân phối phần mềm độc hại không được biết nhưng nó được lan truyền dưới dạng tệp DMG (weed.dmg), khi được thực thi, sẽ mở lời nhắc mật khẩu giả để thu thập mật khẩu dưới chiêu bài tìm kiếm quyền truy cập vào ứng dụng Cài đặt hệ thống .
MacStealer là một trong số những công cụ đánh cắp thông tin mới xuất hiện trong vài tháng qua và thêm vào một số lượng lớn các công cụ tương tự hiện có trong tự nhiên.
Điều này cũng bao gồm một phần mềm độc hại dựa trên C# mới khác có tên là HookSpoofer lấy cảm hứng từ StormKitty và đi kèm với khả năng keylogging và clipper đồng thời truyền dữ liệu bị đánh cắp tới bot Telegram.
Một phần mềm độc hại ăn cắp cookie khác của trình duyệt đáng chú ý là Ducktail, phần mềm này cũng sử dụng bot Telegram để lọc dữ liệu và xuất hiện trở lại vào giữa tháng 2 năm 2023 với các chiến thuật được cải tiến để tránh bị phát hiện.
Điều này liên quan đến việc “thay đổi quá trình lây nhiễm ban đầu từ một kho lưu trữ chứa tệp thực thi độc hại sang một kho lưu trữ chứa tệp LNK độc hại sẽ bắt đầu chuỗi lây nhiễm”, nhà nghiên cứu Simon Kenin của Deep Instinct cho biết vào đầu tháng này.
Phần mềm độc hại Stealer thường lây lan qua các kênh khác nhau, bao gồm tệp đính kèm email, tải xuống phần mềm không có thật và các kỹ thuật kỹ thuật xã hội khác.
Để giảm thiểu các mối đe dọa như vậy, người dùng nên cập nhật hệ điều hành và phần mềm bảo mật, đồng thời tránh tải xuống tệp hoặc nhấp vào liên kết từ các nguồn không xác định.
Nhà nghiên cứu Phil Stokes của SentinelOne cho biết: “Khi máy Mac ngày càng trở nên phổ biến trong doanh nghiệp giữa các nhóm lãnh đạo và phát triển, thì dữ liệu được lưu trữ trên chúng càng quan trọng hơn đối với những kẻ tấn công”.
