Một biến thể mã độc MacSync tinh vi nhắm mục tiêu vào người dùng macOS đã xuất hiện, được xác định là một mối đe dọa mới nguy hiểm cho an ninh mạng. Infostealer này chuyên đánh cắp dữ liệu người dùng tiền điện tử thông qua các chiến thuật kỹ thuật xã hội lừa đảo.
Mã độc hoạt động như một công cụ Malware-as-a-Service (MaaS) với chi phí thấp, được thiết kế để thu thập dữ liệu nhạy cảm từ các hệ thống macOS. Nạn nhân bị thuyết phục dán một lệnh duy nhất vào ứng dụng Terminal của họ.
Phân Tích Kỹ Thuật Mã Độc MacSync và Chuỗi Lây Nhiễm
Chiến Thuật Kỹ Thuật Xã Hội và Khởi Đầu Lây Nhiễm
Các nhà nghiên cứu bảo mật đã phát hiện ra mã độc MacSync trong quá trình điều tra hạ tầng phishing mô phỏng các trang đăng nhập Microsoft. Cuộc tấn công mạng này chuyển hướng người dùng đến một trang cài đặt lưu trữ đám mây giả mạo.
Trang này hiển thị hướng dẫn từng bước để hoàn tất quá trình cài đặt bằng cách sử dụng Terminal. Mã độc là sự phát triển từ biến thể Mac.c stealer trước đó và đã trở nên phổ biến trong giới tội phạm mạng do giá thành thấp và thiết kế module tập trung vào việc đánh cắp dữ liệu tiền điện tử.
Cơ Chế Khai Thác và Vượt Qua Bảo Mật macOS
Quá trình lây nhiễm khai thác niềm tin của người dùng vào các quy trình cài đặt macOS tiêu chuẩn. Nạn nhân gặp phải một trang đích được thiết kế rất thuyết phục, trông giống như phần mềm hợp pháp, kèm theo ngôn ngữ trấn an và huy hiệu “Nhà phát hành đã xác minh”.
Một lệnh một dòng đơn giản, được sao chép vào clipboard, kích hoạt toàn bộ quá trình xâm nhập. Điều này hoàn toàn bỏ qua các biện pháp bảo vệ bảo mật của macOS như Gatekeeper và kiểm tra chứng thực mã (code notarization), những cơ chế vốn sẽ chặn các gói ứng dụng truyền thống.
Các nhà phân tích của CloudSEK đã xác định và phân tích chuỗi lây nhiễm đầy đủ của mã độc MacSync. Họ phát hiện ra cơ chế tấn công đa giai đoạn của nó, hoạt động hoàn toàn thông qua các script thay vì các tệp nhị phân đã biên dịch.
Bạn có thể tham khảo thêm chi tiết về phân tích này tại báo cáo của CloudSEK: Inside MacSync’s Script-Driven Stealer and Hardware Wallet App Trojanization.
Giai Đoạn Hoạt Động Của Loader và Payload
Mã độc này đầu tiên tải xuống một trình nạp Zsh (Zsh loader) đã được chuyển thành daemon, tách khỏi phiên Terminal và thực thi âm thầm trong nền. Trình nạp này sau đó tìm nạp và chạy một payload AppleScript từ xa, chứa chức năng đánh cắp dữ liệu cốt lõi.
Mục tiêu chính của mã độc MacSync là trích xuất dữ liệu liên quan đến tiền điện tử thông qua một phương pháp tiếp cận có mục tiêu cao.
Kỹ Thuật Kỹ Thuật Xã Hội Để Đánh Cắp Mật Khẩu
Khi được thực thi, mã độc MacSync liên tục hiển thị các hộp thoại hệ thống giả mạo, yêu cầu mật khẩu đăng nhập của nạn nhân dưới vỏ bọc xác minh hệ thống. Kỹ thuật xã hội này tỏ ra rất hiệu quả, bởi vì các hộp thoại dai dẳng cuối cùng sẽ làm giảm sức kháng cự của người dùng.
Sau khi lấy được mật khẩu, mã độc này sẽ thu thập hồ sơ trình duyệt từ Chrome, Brave, Edge, Opera và các trình duyệt dựa trên Chromium khác. Nó trích xuất mật khẩu đã lưu và cookie xác thực.
Mục Tiêu Đánh Cắp Dữ Liệu Chuyên Sâu
Infostealer này nhắm mục tiêu cụ thể vào hàng chục tiện ích mở rộng ví tiền điện tử trên trình duyệt. Mã độc xác định các thư mục cài đặt của chúng và sao chép các cụm từ hạt giống (seed phrases) cũng như khóa riêng (private keys) của ví.
Các ứng dụng ví máy tính để bàn như Exodus, Electrum và Bitcoin Core cũng chịu chung số phận. Ngoài ra, mã độc MacSync còn đánh cắp khóa SSH, thông tin xác thực AWS, cơ sở dữ liệu Keychain và Apple Notes chứa thông tin nhạy cảm.
Cơ Chế Duy Trì Quyền Truy Cập và Trojan Hóa Ứng Dụng Ví Cứng
Để duy trì quyền truy cập lâu dài, mã độc sẽ tự động trojan hóa các ứng dụng ví phần cứng như Ledger và Trezor nếu phát hiện chúng trên hệ thống bị nhiễm.
Mã độc này ghi đè lên các thành phần ứng dụng quan trọng và thay thế phần mềm hợp pháp bằng các phiên bản độc hại. Các phiên bản này hiển thị các trình hướng dẫn phishing thuyết phục, nhằm thu thập mã PIN và cụm từ khôi phục (recovery phrases) sau nhiều tuần hoặc nhiều tháng kể từ khi lây nhiễm ban đầu.
Hạ Tầng Hỗ Trợ và Sự Phát Triển Của Chiến Dịch
Hạ tầng hỗ trợ sử dụng ít nhất tám tên miền C2 (Command and Control) xoay vòng, tuân theo các mẫu đặt tên nhất quán. Nhiều trang lừa đảo biến thể khác nhau cho thấy sự phát triển tích cực của chiến dịch.
Việc tái sử dụng hạ tầng và thiết kế module này chứng tỏ rằng mã độc MacSync đại diện cho một hoạt động đang diễn ra và có khả năng mở rộng. Nó nhắm mục tiêu vào cộng đồng tiền điện tử trên macOS thông qua các chiến thuật kỹ thuật xã hội lừa đảo.
