MacStealer đang được phân phối dưới dạng dịch vụ phần mềm độc hại (MaaS), trong đó các nhà phát triển của phần mềm độc hại này đang rao bán các bản dựng sẵn với giá 100 USD, cho phép người mua phát tán phần mềm độc hại trong các chiến dịch của họ.
Theo nhóm nghiên cứu mối đe dọa của công ty bảo mật Uptycs cho biết, MacStealer chủ yếu ảnh hưởng đến các thiết bị chạy phiên bản macOS Catalina (10.15) cho đến phiên bản mới nhất của Apple, Ventura (13.2).
Nhắm mục tiêu người dùng Mac
MacStealer được phát hiện bởi các nhà nghiên cứu của Uptycs trên một diễn đàn tin tặc, nơi mà các nhà phát triển phần mềm độc hại này đã quảng cáo nó từ đầu tháng 3/2023.
Trên thông báo quảng cáo, các nhà phát triển của MacStealer tuyên bố phần mềm độc hại vẫn đang trong giai đoạn phát triển ở phiên bản beta ban đầu và không cung cấp bảng điều khiển console. Thay vào đó, họ bán các payload DMG bản dựng sẵn có thể lây nhiễm trên macOS Catalina, Big Sur, Monterey và Ventura.
Thông tin quảng cáo MacStealer trên diễn đàn tin tặc
Bên cạnh đó, các nhà phát triển cho biết rằng MacSteale có thể đánh cắp dữ liệu từ các hệ thống bị xâm nhập:
- Mật khẩu tài khoản, cookie trình duyệt và chi tiết thẻ tín dụng từ Firefox, Chrome và Brave.
- Các tệp TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY và DB.
- Trích xuất cơ sở dữ liệu Keychain (login.keychain-db) ở dạng mã hóa base64.
- Thu thập thông tin hệ thống.
- Thu thập thông tin mật khẩu Keychain.
- Ví tiền điện tử Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet và Binance.
Cơ sở dữ liệu Keychain là một hệ thống lưu trữ an toàn trong macOS chứa mật khẩu, khóa cá nhân và chứng thư số của người dùng, mã hóa nó bằng mật khẩu đăng nhập của họ, sau đó tính năng này có thể tự động nhập thông tin đăng nhập trên các trang web và ứng dụng.
Các tin tặc phân phối MacStealer dưới dạng tệp DMG chưa được ký số, giả mạo một điều gì đó mà nạn nhân bị đánh lừa và thực thi trên macOS của họ. Khi đó, nạn nhân sẽ nhận được lời nhắc mật khẩu giả để chạy lệnh cho phép phần mềm độc hại thu thập mật khẩu từ máy bị xâm nhập.
Chuỗi tấn công của MacStealer
Sau đó, phần mềm độc hại sẽ thu thập dữ liệu và lưu trữ chúng trong tệp ZIP, để gửi dữ liệu bị đánh cắp đến các máy chủ điều khiển và chỉ huy (C2) từ xa do các tin tặc kiểm soát.
Đồng thời, MacStealer gửi một số thông tin cơ bản đến kênh Telegram được cấu hình sẵn, cho phép tin tặc nhận được thông báo nhanh chóng khi dữ liệu mới bị đánh cắp và tải xuống tệp ZIP. Các nhà nghiên cứu Uptycs cho biết phần mềm độc hại này là ví dụ mới nhất về mối đe dọa sử dụng Telegram làm nền tảng ra lệnh và kiểm soát (C2) nhằm đánh cắp dữ liệu.
Tóm tắt dữ liệu bị đánh cắp trên Telegram
Mặc dù hầu hết các hoạt động của MaaS đều nhắm mục tiêu đến người dùng Windows, nhưng macOS không tránh khỏi những mối đe dọa như vậy, vì vậy người dùng nên cảnh giác và tránh tải xuống các tệp từ các trang web không đáng tin cậy.
Cuối tháng 2/2023, nhà nghiên cứu bảo mật Iamdeadlyz cũng đã phát hiện một phần mềm độc hại đánh cắp thông tin Mac được phân phối trong một chiến dịch lừa đảo nhắm mục tiêu đến những người chơi trò chơi blockchain “The Sandbox”. Kẻ đánh cắp thông tin đó cũng nhắm mục tiêu thông tin xác thực được lưu trong trình duyệt và ví tiền điện tử, bao gồm Exodus, Phantom, Atomic, Electrum và MetaMask.
Với việc các ví tiền điện tử đang bị các tin tặc nhắm mục tiêu cao, các nhà phát triển phần mềm độc hại sẽ nhắm mục tiêu vào macOS để tìm kiếm các ví tiền điện tử để đánh cắp trong tương lai.