Những Lỗ Hổng Bảo Mật macOS và Chiến Lược Giảm Thiểu Rủi Ro

22/03/2025
3 mins read




macOS Vulnerability

Nội dung
Các lỗ hổng macOS gần đây
Mối đe dọa mới nổi
Chiến lược giảm thiểu

Các lỗ hổng macOS gần đây

  1. Poseidon Stealer:
    • Tổng quan về mối đe dọa: Poseidon Stealer là phần mềm độc hại tinh vi nhắm đến người dùng macOS thông qua giao diện DeepSeek.ai giả mạo. Nó sử dụng các kỹ thuật chống phân tích tiên tiến và các vectơ lây nhiễm mới để vượt qua các giao thức bảo mật mới nhất của Apple.
    • Vectơ lây nhiễm: Cuộc tấn công bắt đầu với các chiến dịch quảng cáo độc hại dẫn hướng người dùng đến nền tảng DeepSeek.ai giả. Người dùng bị lừa tải xuống một tệp hình ảnh đĩa độc hại, mà khi được gắn vào, hướng dẫn họ kéo một tệp có tên “DeepSeek.file” vào Terminal để cài đặt. Kỹ thuật này khai thác quyền thực thi script shell của macOS, bỏ qua các bảo vệ của GateKeeper.
    • Phân tích kỹ thuật: Script shell thực hiện mã hóa Base64 đa giai đoạn để che giấu ý định độc hại. Nó sao chép nhị phân phần mềm độc hại vào một thư mục tạm thời, xóa thuộc tính bảo mật, cấp quyền thực hiện, và khởi động payload. Phần mềm đánh cắp thông tin có các biện pháp chống gỡ lỗi như PT_DENY_ATTACH qua ptrace() và kiểm tra Quy trình qua sysctl().
  2. Lỗ hổng Zero-Day WebKit:
    • Tổng quan về lỗ hổng: Apple đã vá một lỗ hổng zero-day (CVE-2025-24201) trong WebKit, có thể cho phép nội dung web được tạo ra độc hại phá vỡ sandbox Nội dung Web. Lỗ hổng này đã bị khai thác trong các cuộc tấn công “cực kỳ tinh vi” trước phiên bản iOS 17.2 và đã được giải quyết trong các bản cập nhật cho iOS, iPadOS, macOS và visionOS.
    • Ảnh hưởng và giảm thiểu: Lỗ hổng được mô tả là một vấn đề ghi đè ra ngoài được giải quyết bằng cách cải thiện các kiểm tra để ngăn chặn các hành động không được phép. Người dùng nên đảm bảo rằng thiết bị của họ được cập nhật lên các phiên bản mới nhất của hệ điều hành để giảm thiểu rủi ro này.

Mối đe dọa mới nổi

  1. CAPTCHA vũ khí hóa:
    • Tổng quan về mối đe dọa: Các tác nhân đe dọa đã sử dụng thử thách CAPTCHA giả để lừa người dùng thực thi các lệnh PowerShell độc hại, dẫn đến lây nhiễm phần mềm độc hại. Tactic này liên quan đến việc hướng người bị hại đến các trang web độc hại nơi họ bị yêu cầu hoàn thành các bước xác thực, điều cuối cùng dẫn đến việc thực thi các kịch bản độc hại.
    • Phương pháp khai thác: Các kẻ tấn công khai thác lòng tin của người dùng bằng cách tạo ra các thử thách CAPTCHA giả trông giống thật. Các thử thách này thường liên quan đến quảng cáo web, tối ưu hóa công cụ tìm kiếm bị chiếm đoạt, hoặc chuyển hướng từ các trang bị xâm phạm. Sau khi hoàn thành các nhiệm vụ CAPTCHA, người dùng bị lừa mở prompt Windows Run và thực thi các lệnh PowerShell độc hại.
  2. Các chiến dịch phishing tinh vi:
    • Tổng quan về mối đe dọa: Một chiến dịch phishing gần đây đã khai thác các email giả mạo của Meta để lừa người dùng tiết lộ thông tin đăng nhập tài khoản Meta Business của họ. Các kẻ tấn công gửi email giả mạo dưới dạng thông báo chính thức từ Instagram, thông báo người dùng rằng tài khoản quảng cáo của họ đã bị tạm ngừng do vi phạm các chính sách quảng cáo.
    • Tactics kỹ xã hội: Cuộc tấn công phishing liên quan đến các tactics kỹ xã hội tinh vi, bao gồm các dịch vụ hỗ trợ chat giả mạo và cấu hình Xác thực Hai yếu tố (2FA) độc hại. Nạn nhân được yêu cầu nhập thông tin cá nhân và tương tác với một chatbot có vẻ hợp pháp được thiết kế để bắt chước hỗ trợ khách hàng của Meta. Các kẻ tấn công yêu cầu chi tiết nhạy cảm và hướng dẫn nạn nhân qua quy trình “Kiểm tra hệ thống” giả mạo để chiếm đoạt tài khoản của nạn nhân.

Chiến lược giảm thiểu

  1. Giáo dục người dùng: Giáo dục người dùng về việc sử dụng Terminal bất ngờ trong quá trình cài đặt phần mềm và những rủi ro liên quan.
  2. Phát hiện điểm cuối: Thiết lập các quy tắc phát hiện điểm cuối để giám sát các chuỗi thực thi osascript nhằm phát hiện và ngăn chặn các hoạt động độc hại.
  3. Lọc mạng: Lọc các kết nối mạng tới các IP C2 đã được xác định để ngăn chặn việc exfiltration dữ liệu.
  4. Kiểm toán định kỳ: Thường xuyên kiểm toán các tiện ích mở rộng trình duyệt và các ứng dụng ví tiền điện tử để đảm bảo chúng không bị xâm phạm.
  5. Cập nhật phần mềm: Đảm bảo tất cả phần mềm, bao gồm cả hệ điều hành và ứng dụng, được cập nhật lên các bản vá bảo mật mới nhất. Đối với macOS, điều này có nghĩa là duy trì ở phiên bản mới nhất (hiện tại là macOS Sequoia) để nhận các bản vá đầy đủ và duy trì bảo mật.


Tags