Cập nhật Trojan trên macOS: Lây lan qua ứng dụng đã ký với việc mã hóa dữ liệu người dùng làm tăng nguy cơ ẩn danh

BlockBeats News, ngày 23 tháng 12, Giám đốc An ninh của SlowMist, 23pds, đã chia sẻ một bài đăng cho biết phần mềm độc hại MacSync Stealer đang hoạt động trên nền tảng macOS đã có sự tiến hóa đáng kể, với tài sản của người dùng đã bị đánh cắp. Bài viết mà ông chia sẻ đề cập rằng từ các kỹ thuật giai đoạn đầu dựa vào "kéo-thả vào terminal" và "ClickFix" để dụ dỗ dễ dàng, nó đã được nâng cấp lên ký mã và sử dụng các ứng dụng Swift đã được Apple chứng thực, giúp tăng đáng kể khả năng ẩn mình.

Các nhà nghiên cứu phát hiện rằng mẫu này đang được phát tán dưới dạng một ảnh đĩa có tên zk-call-messenger-installer-3.9.2-lts.dmg, ngụy trang thành một ứng dụng nhắn tin tức thời hoặc tiện ích để dụ người dùng tải về. Khác với trước đây, phiên bản mới không còn yêu cầu người dùng thực hiện bất kỳ thao tác nào trên terminal, mà thay vào đó được tải xuống và thực thi bởi một trình trợ giúp Swift tích hợp từ máy chủ từ xa để tiến hành quá trình đánh cắp thông tin.

Phần mềm độc hại này đã được ký mã và chứng thực thành công bởi Apple, với ID nhóm phát triển là GNJLS3UYZ4, và các mã băm liên quan vẫn chưa bị Apple thu hồi tại thời điểm phân tích. Điều này có nghĩa là nó được hưởng mức "đáng tin cậy" cao hơn theo cơ chế bảo mật mặc định của macOS, khiến người dùng dễ bị qua mặt hơn. Nghiên cứu cũng phát hiện rằng kích thước tệp DMG này lớn bất thường, chứa các tệp mồi như PDF liên quan đến LibreOffice để giảm bớt sự nghi ngờ.

Các nhà nghiên cứu an ninh chỉ ra rằng các trojan đánh cắp thông tin như vậy thường nhắm vào dữ liệu trình duyệt, thông tin đăng nhập tài khoản và thông tin ví tiền điện tử. Khi phần mềm độc hại ngày càng lạm dụng cơ chế ký mã và chứng thực của Apple, người dùng tiền điện tử trong môi trường macOS đang đối mặt với nguy cơ lừa đảo và lộ khóa riêng ngày càng tăng.