Trojan macOS nâng cấp: Ngụy trang dưới dạng ứng dụng đã ký để lây lan, người dùng crypto đối mặt với rủi ro ẩn sâu hơn

BlockBeats đưa tin, vào ngày 23 tháng 12, Giám đốc An ninh Thông tin của SlowMist, 23pds, đã đăng bài chia sẻ rằng phần mềm độc hại MacSync Stealer hoạt động trên nền tảng macOS đã có sự tiến hóa rõ rệt, và đã có người dùng bị đánh cắp tài sản. Bài viết được chia sẻ cho biết, từ các phương pháp dụ dỗ đơn giản như “kéo vào Terminal”, “ClickFix” ở giai đoạn đầu, phần mềm này đã nâng cấp thành ứng dụng Swift được ký mã và thông qua chứng nhận notarized của Apple, từ đó tăng đáng kể tính ẩn mình.

Các nhà nghiên cứu phát hiện, mẫu phần mềm này được phát tán dưới dạng ảnh đĩa có tên zk-call-messenger-installer-3.9.2-lts.dmg, giả mạo thành ứng dụng nhắn tin hoặc công cụ để dụ người dùng tải về. Khác với trước đây, phiên bản mới không yêu cầu người dùng thao tác gì trên Terminal, mà sử dụng chương trình phụ trợ Swift tích hợp để lấy và thực thi mã hóa từ máy chủ từ xa, hoàn tất quá trình đánh cắp thông tin.

Chương trình độc hại này đã được ký mã và thông qua chứng nhận notarized của Apple, ID nhóm phát triển là GNJLS3UYZ4, các hash liên quan tại thời điểm phân tích vẫn chưa bị Apple thu hồi. Điều này có nghĩa là nó có “độ tin cậy” cao hơn dưới cơ chế bảo mật mặc định của macOS, dễ dàng vượt qua sự cảnh giác của người dùng. Nghiên cứu cũng phát hiện, file DMG này có dung lượng bất thường lớn, chứa các file mồi như PDF liên quan đến LibreOffice nhằm giảm nghi ngờ hơn nữa.

Các nhà nghiên cứu an ninh chỉ ra rằng, loại trojan đánh cắp thông tin này thường nhắm vào dữ liệu trình duyệt, thông tin đăng nhập tài khoản, thông tin ví tiền mã hóa. Khi phần mềm độc hại bắt đầu lạm dụng có hệ thống cơ chế ký mã và notarized của Apple, người dùng tài sản mã hóa trên môi trường macOS đang đối mặt với rủi ro lừa đảo và rò rỉ private key ngày càng tăng.