Phần mềm độc hại MacSync mới vượt qua Gatekeeper của macOS để đánh cắp tiền điện tử

Một biến thể mới của malware MacSync đang tích cực nhắm tới người dùng macOS. Các nhà nghiên cứu bảo mật cảnh báo rằng phần mềm độc hại này có thể vượt qua các cơ chế bảo vệ tích hợp của Apple. Nó có khả năng đánh cắp dữ liệu nhạy cảm, bao gồm cả ví tiền điện tử. Cảnh báo này được SlowMist đưa ra, sau khi giám đốc an ninh thông tin của công ty báo cáo rằng một số người dùng đã chịu thiệt hại về tài sản. Malware này đánh dấu bước tiến trong mức độ tinh vi của các mối đe dọa trên macOS. Khác với các phiên bản cũ, biến thể mới tránh được phát hiện trong khi vẫn xuất hiện hợp pháp với hệ điều hành.

Cách malware né tránh bảo mật macOS

Biến thể MacSync mới có thể vượt qua Gatekeeper của macOS – một hệ thống được thiết kế để chặn các ứng dụng không đáng tin cậy. Theo các nhà nghiên cứu, malware sử dụng nhiều kỹ thuật xếp lớp để tránh bị phát hiện. Chúng bao gồm việc làm phình tệp để che giấu mã độc, xác minh mạng để kiểm tra môi trường thực thi và các script tự hủy để xóa dấu vết sau khi chạy.

Kết quả là malware thường để lại rất ít bằng chứng trên ổ đĩa. Khi được kích hoạt, nó nhắm vào các dữ liệu cực kỳ nhạy cảm, bao gồm keychain iCloud, mật khẩu lưu trong trình duyệt và các tệp ví tiền điện tử. Trong nhiều trường hợp, kẻ tấn công có quyền truy cập đầy đủ trước khi người dùng nhận ra bất kỳ dấu hiệu bất thường nào.

Chuyển sang malware có chữ ký mã tăng rủi ro

Phân tích thêm từ Jamf Threat Labs cho thấy malware đã tiến hóa trong phương thức phát tán. Các phiên bản MacSync trước đây dựa vào kỹ thuật social engineering, như lệnh kéo-thả vào terminal hoặc chạy script thủ công. Tuy nhiên, biến thể mới được phân phối dưới dạng ứng dụng Swift đã được ký mã và notarized. Nó được đóng gói trong các tệp ảnh đĩa trông giống trình cài đặt hợp pháp, giúp vượt qua các kiểm tra ban đầu của macOS mà không kích hoạt cảnh báo.

Sau khi khởi chạy, ứng dụng âm thầm tải xuống và thực thi payload giai đoạn hai. Phần lớn hoạt động này chạy trong bộ nhớ, giảm khả năng bị phát hiện bởi các công cụ antivirus truyền thống. Các nhà nghiên cứu nhận định đây là xu hướng rộng hơn: ngày càng nhiều malware trên macOS sử dụng các tệp thực thi đã ký và notarized để tạo vẻ tin cậy và trì hoãn việc bị phát hiện.

Ví tiền điện tử vẫn là mục tiêu chính

Tập trung vào ví tiền điện tử cho thấy rủi ro gia tăng với các nhà đầu tư tài sản số. Khi kẻ tấn công chiếm được khóa cá nhân hoặc dữ liệu phục hồi, số tiền bị đánh cắp thường không thể khôi phục. Báo cáo cho biết một số người dùng bị ảnh hưởng đã mất crypto ngay sau khi bị nhiễm. Không có dấu hiệu giao dịch ép buộc hay hack sàn. Thay vào đó, kẻ tấn công truy cập trực tiếp ví từ thiết bị bị xâm nhập. Chuyên gia bảo mật cảnh báo người dùng crypto đặc biệt dễ tổn thương, vì nhiều người lưu trữ ví, tiện ích mở rộng trình duyệt và thông tin đăng nhập trên laptop cá nhân mà không có biện pháp bảo vệ bổ sung.

Người dùng nên làm gì ngay bây giờ

SlowMist kêu gọi người dùng macOS tránh tải phần mềm hoặc plugin từ nguồn không rõ ràng. Ngay cả những trình cài đặt trông hợp pháp cũng có thể tiềm ẩn rủi ro. Chuyên gia cũng khuyến nghị bật các công cụ bảo vệ mối đe dọa nâng cao, giữ hệ thống luôn được cập nhật và lưu trữ tài sản crypto trong ví cứng nếu có thể. Người dùng nên thận trọng với bất kỳ trình cài đặt hay cảnh báo bảo mật bất ngờ nào. Khi kẻ tấn công ngày càng tinh vi, macOS không còn là môi trường ít rủi ro. Trường hợp MacSync cho thấy ngay cả các cơ chế bảo vệ tích hợp cũng có thể bị vượt qua. Do đó, đối với người nắm giữ crypto, cảnh giác vẫn là điều thiết yếu.