Mặc dù người dùng Windows PC thường xuyên gặp cảnh báo rò rỉ mật khẩu, nhưng người dùng Apple không nên chủ quan. Với hơn 19 tỷ bộ mật khẩu bị đánh cắp đã được công bố trên các diễn đàn trực tuyến, FBI Mỹ cũng tiếp tục phát đi cảnh báo an ninh “đừng nhấp chuột”, người dùng Mac hiện trở thành mục tiêu tấn công mới của tin tặc. Nghiên cứu an ninh chỉ ra rằng, một phần mềm độc hại giả dạng thông báo cập nhật có thể dẫn đến việc rò rỉ mật khẩu của người dùng Mac.
Phòng thí nghiệm Moonlock, chuyên nghiên cứu an ninh macOS trong thời gian dài, chỉ ra rằng kế hoạch tấn công này thông qua thông báo giả mạo cập nhật firmware Realtek, dẫn dắt người dùng tải xuống mã độc. Nhà nghiên cứu an ninh Mykhailo Hrebeniuk phân tích rằng phần mềm này thực chất là dạng phần mềm độc hại ăn cắp thông tin (infostealer), có khả năng đánh cắp thông tin đăng nhập, dữ liệu mật khẩu và cookies trình duyệt của Mac.
Hrebeniuk chỉ ra rằng kế hoạch tấn công này liên quan đến nhóm tin tặc Bắc Hàn. Nhìn bên ngoài, đây chỉ là một thông báo cập nhật đơn thuần, nhưng thực chất ẩn chứa cơ chế xâm nhập và rò rỉ dữ liệu; ngay khi nạn nhân cài đặt, họ sẽ bước vào một chuỗi các quy trình xâm nhập.
Theo thông tin từ Moonlock Lab, cuộc tấn công mã độc macOS này bao gồm năm bước sau:
Lừa đảo nạn nhân tải xuống driver Realtek giả mạo. Sử dụng LaunchAgents để duy trì tính thường trực của mã độc. Triển khai ứng dụng giả mạo để dụ dỗ người dùng nhập mật khẩu. Kích hoạt trình tải thứ hai để thực thi tải trọng độc hại chính. Tạo một vòng kiểm soát liên tục để đánh cắp cookies Chrome, dữ liệu đăng nhập và thông tin chứng chỉ trong Keychain của Mac.
Hrebeniuk cho biết, gần đây số lượng phần mềm độc hại dạng infostealer nhắm vào macOS đã gia tăng 340%. Cuộc tấn công mang tên “Contagious Interview” được phát hiện lần đầu vào tháng 4, khi đó chủ yếu sử dụng “lời mời phỏng vấn” làm mồi nhử, gần đây đã chuyển sang hình thức cập nhật driver giả mạo.
Hrebeniuk bổ sung, cuộc tấn công lần này cho thấy tin tặc không cần phát triển phần mềm độc hại hoàn toàn mới, chỉ cần tinh chỉnh lại mẫu cũ là có thể tránh bị phát hiện.
(Hình nguồn: Unsplash)