Người dùng Mac cảnh giác: Phát hiện mã độc mới giả mạo công cụ của Apple

MinhSec
MinhSec
Phản hồi: 0

MinhSec

Writer
MinhSec

MinhSec Đã xác thực

Các chuyên gia bảo mật vừa cảnh báo về một phần mềm đánh cắp thông tin mới có tên CrashStealer, được thiết kế riêng cho macOS và ngụy trang thành công cụ báo cáo sự cố của Apple nhằm qua mặt người dùng. Không chỉ đánh cắp mật khẩu trình duyệt, phần mềm này còn nhắm đến ví tiền điện tử, trình quản lý mật khẩu và dữ liệu trong Keychain trước khi mã hóa rồi gửi toàn bộ về máy chủ của kẻ tấn công.

Theo hãng bảo mật Jamf, CrashStealer đã được phát hiện ngoài thực tế sau khi hoàn thiện quá trình phát triển và hiện được xem là một trong những mối đe dọa đáng chú ý nhất đối với người dùng macOS trong năm 2026.

Giả mạo ứng dụng Apple để vượt qua lớp bảo vệ của macOS​

Jamf cho biết mẫu đầu tiên của CrashStealer xuất hiện trên VirusTotal vào đầu tháng 5/2026. Khi đó, phần mềm độc hại vẫn đang trong giai đoạn hoàn thiện. Đến đầu tháng 7, các cuộc tấn công thực tế xác nhận mã độc đã sẵn sàng hoạt động và được triển khai rộng rãi.
1784010798779.png

Khác với nhiều phần mềm đánh cắp dữ liệu trên macOS vốn được xây dựng bằng AppleScript hoặc Objective-C, CrashStealer được phát triển hoàn toàn bằng ngôn ngữ C++ với cấu trúc phức tạp hơn, giúp tăng khả năng né tránh các công cụ phân tích bảo mật.

Quá trình lây nhiễm bắt đầu từ một tệp ảnh đĩa (DMG) có tên "Werkbit Setup", chứa ứng dụng được ký bằng chứng chỉ nhà phát triển hợp lệ. Điều này cho phép phần mềm vượt qua cơ chế bảo vệ Gatekeeper của macOS và khiến người dùng khó nhận ra dấu hiệu bất thường.

Sau khi được mở, ứng dụng âm thầm tải xuống các tập lệnh từ GitHub, giải mã nhiều lớp mã hóa Base64 rồi cài đặt phần mềm độc hại dưới tên CrashReporter.app. Ứng dụng này sử dụng biểu tượng, tên gọi và mã định danh gần giống với công cụ báo cáo lỗi chính thức của Apple nhằm đánh lừa người dùng.

Đánh cắp hàng loạt dữ liệu quan trọng rồi mã hóa trước khi gửi đi​

Sau khi xâm nhập thành công, CrashStealer sẽ xác minh mật khẩu đăng nhập của người dùng, mở khóa Keychain và kiểm tra các phần mềm bảo mật đang được cài đặt trước khi bắt đầu thu thập dữ liệu.

Danh sách mục tiêu của mã độc rất rộng, bao gồm thông tin đăng nhập từ các trình duyệt Chromium như Google Chrome, Microsoft Edge, Brave, Opera và Vivaldi, dữ liệu của Firefox, khoảng 80 tiện ích mở rộng ví tiền điện tử thuộc các hệ sinh thái Ethereum, Solana, Cosmos hay TON, cùng 14 trình quản lý mật khẩu phổ biến như 1Password, Bitwarden và LastPass. Ngoài ra, mã độc còn thu thập dữ liệu trong Keychain cũng như các tệp nằm trong thư mục Documents và Downloads.

Một điểm đáng chú ý là CrashStealer sử dụng chuẩn mã hóa AES-256-GCM để mã hóa toàn bộ dữ liệu đánh cắp ngay trên máy nạn nhân trước khi nén thành tệp ZIP và gửi về máy chủ điều khiển thông qua thư viện libcurl. Phương pháp này giúp dữ liệu bị đánh cắp khó bị phát hiện hoặc phân tích trong quá trình truyền tải.

Để duy trì hoạt động lâu dài, phần mềm độc hại còn tự sao chép chính nó và tạo một LaunchAgent có tên com.apple.crashreporter.helper, giúp tự động khởi chạy mỗi khi máy tính được bật lại.

Theo Jamf, chiến dịch này nhiều khả năng không hoạt động riêng lẻ mà là một phần của mạng lưới tấn công đa nền tảng. Các chuyên gia cũng nhận định phần mềm độc hại trên macOS đang phát triển nhanh về mức độ tinh vi, thu hẹp khoảng cách với các mã độc trên Windows khi ngày càng sử dụng nhiều kỹ thuật chống phân tích, mã hóa dữ liệu và cơ chế duy trì hoạt động phức tạp hơn.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly93d3cudm5yZXZpZXcudm4vdGhyZWFkcy9uZ3VvaS1kdW5nLW1hYy1jYW5oLWdpYWMtcGhhdC1oaWVuLW1hLWRvYy1tb2ktZ2lhLW1hby1jb25nLWN1LWN1YS1hcHBsZS44NzQ3MC8=
Top