Forbes đưa tin, các chuyên gia an ninh mạng vừa phát hiện một loại mã độc đánh cắp thông tin mới mang tên CrashStealer, được sử dụng trong các cuộc tấn công nhằm vào hệ điều hành macOS. Điều đáng lo ngại là phần mềm độc hại này có khả năng truy cập Apple Keychain – kho lưu trữ mật khẩu và dữ liệu bảo mật được mã hóa của người dùng – mở đường cho tin tặc chiếm đoạt hàng loạt thông tin nhạy cảm.
Không chỉ nhắm đến các thông tin đăng nhập website, mật khẩu Wi-Fi hay khóa mã hóa ổ đĩa được lưu trong Apple Keychain, CrashStealer còn đánh cắp cookie và mật khẩu trên trình duyệt Chrome, Firefox, dữ liệu từ 14 trình quản lý mật khẩu, khoảng 80 ví tiền điện tử, cùng nhiều tệp nằm trong thư mục Documents và Downloads.

Phát hiện một loại mã độc đánh cắp thông tin mới mang tên CrashStealer. Ảnh minh hoạ
Theo nhà nghiên cứu bảo mật Thijs Xhaflaire, chuỗi lây nhiễm của CrashStealer được thiết kế rất tinh vi. Thay vì sử dụng các tệp cài đặt không có chữ ký như nhiều mã độc khác, kẻ tấn công phát tán một trình cài đặt đã được ký số và chứng thực hợp lệ, đủ khả năng vượt qua cơ chế bảo vệ Gatekeeper của Apple. Sau khi được người dùng khởi chạy, trình cài đặt này âm thầm tải xuống, ký lại và kích hoạt mã độc trên thiết bị.
Sau khi nhận được báo cáo từ Jamf Threat Labs, Apple đã thu hồi chứng chỉ nhà phát triển liên quan đến ứng dụng độc hại, qua đó ngăn chặn các đợt phát tán tiếp theo.
Không chỉ là mã độc đánh cắp dữ liệu
Theo Piyush Sharma, CEO của nền tảng SecOps Tuskira, CrashStealer không nên được xem là một phần mềm độc hại thông thường dành cho macOS. Ông cho biết mã độc này giả mạo quy trình báo cáo sự cố của Apple nhằm tạo cảm giác tin cậy, từ đó khiến người dùng vô tình cung cấp thông tin đăng nhập, dữ liệu Keychain và các phiên làm việc đang hoạt động – những dữ liệu có thể giúp tin tặc tiếp tục mở rộng phạm vi xâm nhập.
Điểm đáng chú ý là dù yêu cầu nạn nhân tải xuống trình cài đặt ứng dụng Werkbit giả mạo, CrashStealer vẫn sử dụng ID nhà phát triển hợp lệ, giúp vượt qua lớp kiểm tra bảo mật Gatekeeper trong lần khởi chạy đầu tiên. Apple xác nhận đã vô hiệu hóa chứng chỉ này ngay sau khi nhận được cảnh báo từ các nhà nghiên cứu bảo mật.

Ảnh minh hoạ
Theo Xhaflaire, điều khiến CrashStealer trở nên nguy hiểm không nằm ở lượng dữ liệu mà nó thu thập, mà ở cách thức được xây dựng. Mã độc sử dụng thuật toán mã hóa AES-GCM ngay trên máy nạn nhân để bảo vệ dữ liệu đánh cắp, đồng thời tích hợp nhiều lớp chống phân tích, chống gỡ lỗi và kỹ thuật che giấu nhằm gây khó khăn cho các chuyên gia điều tra.
Doanh nghiệp đối mặt nguy cơ lớn
Ông Piyush Sharma cho rằng vấn đề cốt lõi không chỉ là một thiết bị Mac bị nhiễm mã độc, mà là những hậu quả kéo theo khi thông tin xác thực bị đánh cắp.
Theo ông, các doanh nghiệp cần xác định không chỉ máy tính nào đã bị xâm nhập, mà còn phải đánh giá những tài khoản, ứng dụng SaaS, hạ tầng đám mây, kho mã nguồn và hệ thống sản xuất nào có nguy cơ bị truy cập trái phép bằng các thông tin đăng nhập đã bị lộ. Đồng thời, các tổ chức nên thường xuyên rà soát khả năng phát hiện, ngăn chặn các kịch bản tấn công tương tự và liên tục xác minh quyền truy cập của các tài khoản quan trọng.
Người dùng macOS cũng không thể chủ quan
Các chuyên gia nhấn mạnh rằng việc sử dụng macOS không đồng nghĩa với việc miễn nhiễm trước các cuộc tấn công mạng. Mặc dù số lượng mã độc nhắm vào hệ sinh thái Apple thấp hơn Windows, người dùng Mac vẫn là mục tiêu của các chiến dịch đánh cắp thông tin, đặc biệt khi mật khẩu và dữ liệu xác thực có thể mở đường cho tin tặc truy cập toàn bộ tài khoản cá nhân.
Để giảm thiểu rủi ro, người dùng được khuyến cáo không tải hoặc chạy trình cài đặt từ các nguồn không đáng tin cậy, luôn kiểm tra kỹ địa chỉ website trước khi đăng nhập, ưu tiên cài đặt ứng dụng thông qua Mac App Store và tránh nhấp vào các liên kết được gửi qua mạng xã hội hoặc email không rõ nguồn gốc.










