Mã độc MacStealer đánh cắp dữ liệu và mật khẩu iCloud Keychain trên hệ điều hành macOS

- Mã độc MacStealer sử dụng Telegram làm nền tảng để ra lệnh và kiểm soát C&C nhằm mục tiêu vào các thiết bị dùng hệ điều hành macOS của Apple để đánh cắp thông tin dữ liệu trái phép.

MacStealer có khả năng đánh cắp tài liệu, cookie và thông tin đăng nhập của người dùng. Mã độc này ảnh hưởng đến các thiết bị sử dụng phiên bản macOS Catalina trở lên chạy trên CPU M1 và M2.

Đầu tháng 3/2023, MacStealer được công khai trên Internet với giá 100 đô la. Mã độc này hiện vẫn đang trong quá trình hoàn thiện để cập nhập thêm các tính năng như thu thập dữ liệu từ trình duyệt Safari và ứng dụng Ghi chú.

Ở phiên bản hiện tại, MacStealer được thiết kế để trích xuất dữ liệu iCloud Keychain, mật khẩu và thông tin thẻ tín dụng từ các trình duyệt như Google Chrome, Mozilla Firefow và Brave. Ngoài ra, MacStealer có tính năng hỗ trợ thu thập các tệp Microsoft Office, hình ảnh, tài liệu lưu trữ và tập lệnh Python.

MacStealer được phát tán dưới dạng tệp DMG (weed.dmg). Khi được triển khai, mã độc sẽ điều hướng người dùng nhập mật khẩu để truy cập Cài đặt hệ thống nhằm thu thập mật khẩu. Những công cụ đánh cắp thông tin như MacStealer đang gia tăng đáng kể trong vài tháng qua.

Ngoài ra, mã độc khác dựa trên C# có tên HookSpoofer lấy cảm hứng từ StormKitty đi kèm với khả năng keylogging và clipper đồng thời truyền dữ liệu đánh cắp tới bot Telegram. Ducktail, một mã độc đánh cắp cookie của trình duyệt cũng sử dụng bot Telegram để lọc dữ liệu, đã trở lại vào tháng 02/2023 cùng với các chiến thuật cải tiến để tránh bị phát hiện.

Theo các nhà nghiên cứu, những công cụ đánh cắp thông tin này liên quan đến việc thay đổi quá trình lây nhiễm ban đầu từ một kho lưu trữ chứa tệp thực thi độc hại sang một kho lưu trữ chứa tệp LNK để bắt đầu quá trình lây nhiễm.

MacStealer phát tán mã độc qua các kênh khác nhau bao gồm tệp đính kèm email, tải xuống phần mềm Bogus và các cuộc tấn công Social engineering. Để đề phòng các mối đe dọa, người dùng nên cập nhật hệ điều hành và cài đặt phần mềm bảo mật, đồng thời kiểm tra trước khi nhấp vào các liên kết lạ được đính kèm trong email và không tải xuống tệp từ những nguồn không đáng tin cậy.