Một loại mã độc macOS mới đang gây ra mối đe dọa nghiêm trọng bằng cách đánh cắp dữ liệu từ ứng dụng Telegram Desktop, cho phép kẻ tấn công truy cập tài khoản ngay lập tức. Mã độc này không tìm cách đoán mật khẩu hay phá vỡ xác thực hai yếu tố (2FA) của người dùng, mà thay vào đó sao chép các tệp cục bộ chứng minh rằng người dùng đã đăng nhập vào hệ thống.
Khi các tệp bị đánh cắp này được khôi phục trên một máy Mac khác, ứng dụng Telegram có thể mở và đồng bộ hóa các cuộc trò chuyện mà không cần hiển thị màn hình đăng nhập thông thường. Điều này cho phép kẻ tấn công chiếm quyền điều khiển tài khoản Telegram một cách hiệu quả, bypass các lớp bảo mật hiện có.
Cơ Chế Chiếm Đoạt Phiên Telegram
Hoạt động của mã độc mở rộng ra ngoài Telegram, nhắm mục tiêu vào nhiều loại dữ liệu nhạy cảm khác. Nó thu thập dữ liệu Keychain của macOS, thông tin đăng nhập và cookie của trình duyệt, ghi chú của Apple, và cơ sở dữ liệu của các ví tiền điện tử.
Để tăng cường khả năng xâm nhập, mã độc sử dụng các cửa sổ nhắc mật khẩu giả mạo. Mục đích là để thu thập mật khẩu hệ thống đang hoạt động, mở rộng phạm vi dữ liệu có thể bị đánh cắp.
Kỹ Thuật Session Hijacking
Các nhà nghiên cứu tại SlowMist đã phân tích kỹ thuật này và chia sẻ báo cáo với Cyber Security News (CSN). Họ đã tái tạo thành công cuộc tấn công trong một môi trường cô lập, xác nhận hiệu quả của phương pháp.
Kết quả kiểm tra cho thấy một phiên Telegram đang hoạt động có thể được di chuyển sang một máy Mac tương thích. Điều này khả thi ngay cả khi tính năng xác minh hai bước của Telegram được bật, với điều kiện nạn nhân chưa cấu hình mật mã riêng cho ứng dụng Telegram Desktop.
Mã độc này được thiết kế để tìm kiếm thư mục tdata của Telegram Desktop trong thư mục Library của nạn nhân. Đây là thư mục chứa các tệp liên quan đến phiên đăng nhập đã được xác thực.
Cụ thể, mã độc sao chép các tệp liên quan đến phiên như key_datas, maps và các tệp s tương ứng. Sau đó, chúng được đưa vào một vị trí tạm thời, nén lại và tải lên cùng với các thông tin bị đánh cắp khác.
Trong môi trường thử nghiệm chạy macOS 12.7 và Telegram Desktop 4.16, các nhà nghiên cứu đã khôi phục thành công các tệp này. Máy khách Telegram được nhân bản không yêu cầu số điện thoại, mã SMS hay mật khẩu xác minh hai bước của Telegram.
Phiên xác thực đã được khôi phục ngay lập tức và bắt đầu tải xuống lịch sử trò chuyện. Điều này đặt ra một rủi ro đáng kể, đặc biệt khi xem xét các chiến dịch lừa đảo (phishing) Telegram gần đây.
Đây là một hình thức tái sử dụng phiên (session reuse), không phải là hành vi phá vỡ cơ chế bảo vệ 2FA của Telegram. Xác minh hai bước bảo vệ các lần cố gắng ủy quyền mới, trong khi dữ liệu phiên cục bộ được sao chép có thể bỏ qua quy trình này vì máy khách coi đó là một ủy quyền hiện có.
SlowMist cũng phát hiện rằng kẻ tấn công có khả năng chuyển đổi dữ liệu tdata bị đánh cắp thành một phiên API có thể lập trình được. Điều này cho phép chúng truy cập tin nhắn và lịch sử trò chuyện mà không cần giao diện người dùng Telegram thông thường.
Vấn đề này có thể khó phát hiện. Trong các thử nghiệm ngắn, không liên tục, phiên được sao chép không phải lúc nào cũng hiển thị rõ ràng như một thiết bị riêng biệt trong danh sách thiết bị của Telegram.
Ứng dụng Telegram dành cho macOS cũng dễ bị tổn thương bởi việc khôi phục phiên cục bộ. Các cuộc hội thoại được lưu trong bộ nhớ cache có thể vẫn truy cập được ngay cả sau khi hành vi đáng ngờ giới hạn hoạt động tin nhắn mới. Điều này nhấn mạnh tầm quan trọng của việc đảm bảo an toàn thông tin cá nhân trên các thiết bị macOS.
Phạm Vi Đánh Cắp Dữ Liệu Rộng Rải
Bên cạnh dữ liệu Telegram, mã độc macOS này còn tìm kiếm cơ sở dữ liệu từ 16 ứng dụng ví tiền điện tử khác nhau. Đồng thời, nó quét các hồ sơ trình duyệt Chromium để tìm kiếm dữ liệu lưu trữ của tiện ích mở rộng ví.
Mã độc có thể kết hợp dữ liệu ví tiền điện tử được mã hóa bị đánh cắp với mật khẩu thu được từ các cửa sổ nhắc giả mạo. Ngoài ra, nó cũng sử dụng các bản ghi Keychain, dữ liệu trình duyệt và ghi chú, cho phép thực hiện nhiều lần giải mã ngay cả khi đã ở xa máy Mac của nạn nhân.
Các loại mã độc macOS tương tự ngày càng nhắm mục tiêu vào thông tin đăng nhập và dữ liệu ví thông qua các tệp tin lừa đảo và mồi nhử kỹ thuật xã hội. Các mối đe dọa mạng này liên tục phát triển, đòi hỏi sự cảnh giác cao độ.
Thay Thế Ứng Dụng Ví Tiền Điện Tử Giả Mạo
Một chiến thuật nguy hiểm khác của mã độc là thay thế các ứng dụng ví tiền điện tử được chọn bằng các chương trình desktop giả mạo. Các chương trình này được thiết kế để tải các trang web do kẻ tấn công kiểm soát.
Những ứng dụng thay thế này sử dụng tên và biểu tượng quen thuộc, khiến một yêu cầu nhập cụm từ khôi phục (recovery phrase) xuất hiện như một phần của ứng dụng desktop đáng tin cậy. Điều này thay vì một trang lừa đảo trong trình duyệt, đánh lừa người dùng cung cấp thông tin nhạy cảm.
Người dùng cần đặc biệt cảnh giác với bất kỳ thay đổi bất ngờ nào trong các ứng dụng ví tiền điện tử của mình. Cảnh báo này cũng đã được nhấn mạnh trong các báo cáo về mã độc macOS đánh cắp ví khác, chẳng hạn như OdysseyStealer.
Chỉ Số Đánh Dấu Sự Xâm Nhập (IOCs)
Việc phát hiện sớm sự xâm nhập là rất quan trọng để giảm thiểu thiệt hại. Dưới đây là các chỉ số đánh dấu sự xâm nhập (IoCs) liên quan đến loại mã độc macOS này, có thể hỗ trợ các chuyên gia an ninh mạng trong việc phát hiện và ứng phó:
- Thư mục đích:
~/Library/Application Support/Telegram Desktop/tdata/ - Tệp tin liên quan đến phiên Telegram:
key_datasmaps- Các tệp
s(ví dụ:s.db,s.sqlitehoặc các tệp có tiền tốs)
- Hành vi đáng ngờ:
- Sao chép các tệp phiên Telegram sang vị trí tạm thời.
- Nén dữ liệu và tải lên các máy chủ không xác định.
- Yêu cầu mật khẩu hệ thống thông qua các hộp thoại giả mạo.
- Thay thế ứng dụng ví tiền điện tử bằng các phiên bản giả mạo.
- Các tệp tin khác bị nhắm mục tiêu:
- Dữ liệu macOS Keychain.
- Thông tin đăng nhập và cookie trình duyệt (đặc biệt là Chromium-based).
- Ghi chú của Apple (Apple Notes).
- Cơ sở dữ liệu của 16 ứng dụng ví tiền điện tử đã biết.
- Dữ liệu tiện ích mở rộng ví trong hồ sơ trình duyệt Chromium.
Lưu ý: Các chỉ số trên cần được sử dụng trong các nền tảng threat intelligence (như MISP, VirusTotal, hoặc SIEM của bạn) để phân tích và ứng phó một cách hiệu quả.
Biện Pháp Phòng Ngừa và Khắc Phục
Để bảo vệ bản thân trước mối đe dọa này và các mã độc macOS tương tự, người dùng cần thực hiện các biện pháp phòng ngừa và khắc phục kịp thời. Việc này giúp tăng cường bảo mật thông tin cá nhân và tài sản kỹ thuật số.
Hành Động Khẩn Cấp Khi Nghi Ngờ Nhiễm Mã Độc
Nếu nghi ngờ máy tính bị nhiễm mã độc, hãy thực hiện các bước sau để bảo vệ tài khoản của bạn:
- Chấm dứt tất cả các phiên Telegram: Từ một thiết bị đáng tin cậy khác (ví dụ: điện thoại di động), hãy vào cài đặt Telegram của bạn, tìm phần “Thiết bị” hoặc “Phiên hoạt động” và chấm dứt tất cả các phiên không xác định hoặc đáng ngờ.
- Đăng nhập lại hoàn toàn mới: Thực hiện quy trình đăng nhập Telegram mới từ đầu.
- Thay đổi mật khẩu xác minh hai bước của Telegram: Nếu bạn đã bật 2FA, hãy thay đổi mật khẩu này ngay lập tức.
- Đặt và thay đổi mật mã Telegram Desktop: Cấu hình mật mã riêng cho ứng dụng Telegram Desktop (nếu chưa có) và thay đổi mật mã đó.
- Thay đổi mật khẩu đã lưu trữ: Các mật khẩu được lưu trữ hoặc tái sử dụng trong Keychain, trình duyệt và ghi chú nên được thay đổi ngay lập tức.
Bảo Vệ Ví Tiền Điện Tử
Đối với các ví tiền điện tử có khả năng bị lộ, hành động khắc phục càng phải nhanh chóng và quyết liệt:
- Di chuyển tài sản: Chuyển tất cả tài sản từ ví bị nghi ngờ sang một ví mới hoàn toàn, được tạo bằng cụm từ khôi phục mới trên một thiết bị sạch, an toàn.
- Kiểm tra ứng dụng ví: Nếu một ứng dụng ví xuất hiện có dấu hiệu bị thay đổi, hãy gỡ bỏ nó ngay lập tức.
- Kiểm tra cơ chế duy trì: Kiểm tra máy Mac của bạn để tìm bất kỳ cơ chế duy trì nào mà mã độc có thể đã thiết lập.
- Xác minh nguồn cài đặt: Xác minh nguồn cài đặt và chữ ký của ứng dụng ví. Chỉ cài đặt lại từ các nguồn đáng tin cậy và chính thức.
- Coi cụm từ khôi phục là bị lộ: Bất kỳ cụm từ khôi phục nào đã được nhập vào một ứng dụng đáng ngờ phải được coi là đã bị xâm phạm. Việc thay đổi mật khẩu ứng dụng không thể thu hồi các khóa riêng tư hoặc cụm từ đã bị kẻ tấn công đánh cắp.
Thực Hành Tốt về Bảo Mật Chung
Để duy trì an ninh mạng mạnh mẽ, hãy luôn tuân thủ các thực hành bảo mật tốt nhất:
- Cập nhật hệ điều hành và ứng dụng: Đảm bảo macOS và tất cả các ứng dụng, đặc biệt là các ứng dụng nhạy cảm như Telegram và ví tiền điện tử, luôn được cập nhật bản vá bảo mật mới nhất.
- Sử dụng phần mềm diệt mã độc: Cài đặt và duy trì một phần mềm diệt mã độc uy tín trên máy Mac của bạn.
- Cảnh giác với lừa đảo: Luôn kiểm tra kỹ các đường link và nguồn gốc của các tệp tin trước khi mở hoặc tải xuống. Mã độc thường lây lan qua các phương tiện kỹ thuật xã hội.
- Sao lưu dữ liệu định kỳ: Thực hiện sao lưu dữ liệu quan trọng thường xuyên để có thể khôi phục trong trường hợp xảy ra sự cố.
- Hiểu rõ về 2FA: Mặc dù 2FA là quan trọng, nhưng hãy hiểu rõ rằng nó không phải là giải pháp bảo mật tuyệt đối. Luôn kết hợp với các biện pháp bảo vệ khác.
Mối đe dọa từ mã độc macOS này một lần nữa khẳng định tầm quan trọng của việc duy trì sự cảnh giác và áp dụng các biện pháp bảo mật đa lớp. Người dùng cần chủ động bảo vệ thông tin cá nhân và tài sản kỹ thuật số của mình trước các cuộc tấn công mạng ngày càng tinh vi.










