Một chủng **mã độc ModStealer** mới, phức tạp nhắm mục tiêu vào người dùng macOS đã xuất hiện, có khả năng vượt qua các giải pháp chống vi-rút truyền thống và đặc biệt nhắm vào các nhà phát triển và chủ sở hữu tiền điện tử. Mối đe dọa đa nền tảng này thể hiện sự phát triển mới nhất trong tội phạm mạng tập trung vào macOS, làm nổi bật những thách thức bảo mật ngày càng tăng mà người dùng Apple phải đối mặt vào năm 2024.

Phát hiện và Công bố Ban đầu

ModStealer được công ty an ninh mạng Mosyle xác định lần đầu tiên và được báo cáo thông qua 9to5Mac vào ngày 11 tháng 9 năm 2024. Phần mềm độc hại này đã xuất hiện trên VirusTotal khoảng một tháng trước khi được công bố rộng rãi, cho thấy nó đã hoạt động ở chế độ ẩn trong khi né tránh các hệ thống phát hiện.

Tuy nhiên, Mosyle đã không phát hành tài liệu kỹ thuật toàn diện hoặc chi tiết phân tích pháp y thông qua các kênh chính thức. Việc thiếu thông tin kỹ thuật chuyên sâu về hoạt động nội bộ của phần mềm độc hại đã hạn chế khả năng phân tích của các nhà nghiên cứu bảo mật.

Khả năng Đa Nền tảng

ModStealer nổi bật nhờ chức năng đa nền tảng, có khả năng xâm nhập các hệ thống macOS, Windows và Linux. Mặc dù cơ chế chính xác cho sự linh hoạt này vẫn chưa rõ ràng, các chiến dịch đa nền tảng thường triển khai các payload cụ thể theo hệ điều hành dựa trên hồ sơ nạn nhân.

Chiến lược Nhắm mục tiêu Chuyên biệt

Phần mềm độc hại này thể hiện sự tinh vi đặc biệt trong phương pháp nhắm mục tiêu, tập trung chủ yếu vào hai nhóm đối tượng có giá trị cao:

Nhà phát triển

• Nhà phát triển bị nhắm mục tiêu thông qua các quảng cáo việc làm giả mạo và các vụ lừa đảo tuyển dụng.
• Khai thác xu hướng của họ trong việc tải xuống các công cụ và tài nguyên phát triển từ nhiều nguồn trực tuyến khác nhau.
• Mã độc ModStealer này sử dụng các chiến thuật kỹ thuật xã hội, với những kẻ tấn công mạo danh các nhà tuyển dụng và công ty hợp pháp để tạo lòng tin trước khi triển khai các payload độc hại.

Chủ sở hữu Tiền điện tử

• Chủ sở hữu tiền điện tử là nhóm mục tiêu chính thứ hai.
• ModStealer được thiết kế đặc biệt để xâm phạm các tiện ích mở rộng ví dựa trên trình duyệt trên cả nền tảng Chrome và Safari.
• Khả năng này đặc biệt đáng chú ý, vì các infostealer nhắm mục tiêu tiện ích mở rộng ví Safari tương đối hiếm trong bối cảnh mối đe dọa.

Kỹ thuật Thu thập Dữ liệu

ModStealer sử dụng một bộ kỹ thuật thu thập dữ liệu toàn diện được thiết kế để tối đa hóa giá trị được trích xuất từ các hệ thống bị xâm nhập:

• Xâm phạm Tiện ích mở rộng Trình duyệt: Phần mềm độc hại nhắm mục tiêu hơn 50 tiện ích mở rộng trình duyệt khác nhau, đặc biệt tập trung vào các tiện ích mở rộng ví tiền điện tử trong cả trình duyệt Chrome/Chromium và Safari.
• Giám sát Clipboard: Stealer liên tục giám sát nội dung clipboard để thu thập thông tin nhạy cảm như cụm từ khôi phục (seed phrases) và khóa riêng (private keys) của tiền điện tử khi người dùng sao chép và dán các thông tin này.
• Chụp Ảnh màn hình: ModStealer định kỳ chụp ảnh màn hình để thu thập dữ liệu hiển thị của người dùng, bao gồm cả thông tin nhạy cảm được hiển thị trên màn hình.
• Thu thập Dữ liệu Trình duyệt: Phần mềm độc hại có hệ thống trích xuất dữ liệu trình duyệt đã lưu, bao gồm nội dung bộ nhớ cục bộ (local storage), LevelDB, IndexedDB, cookie và thông tin đăng nhập đã lưu trữ.
• Thực thi Lệnh Từ xa (Remote Command Execution): Stealer duy trì liên lạc với các máy chủ Command-and-Control (C2), cho phép kẻ tấn công thực thi các lệnh bổ sung để thu thập dữ liệu hoặc di chuyển ngang trong các mạng bị xâm nhập.

Cơ chế Duy trì Quyền Truy cập của Mã độc macOS ModStealer

Mã độc ModStealer thể hiện khả năng duy trì quyền truy cập nâng cao trên các hệ thống macOS thông qua việc lạm dụng các công cụ hệ thống hợp pháp của Apple. Phần mềm độc hại này đạt được sự hiện diện lâu dài bằng cách khai thác tiện ích launchctl của Apple, tự nhúng mình dưới dạng LaunchAgent trong các quy trình khởi động của hệ thống.

Kỹ thuật này liên quan đến việc cài đặt các cơ chế duy trì quyền truy cập trong các quy trình khởi chạy và khởi động của macOS, cho phép phần mềm độc hại tồn tại qua các lần khởi động lại hệ thống và duy trì quyền truy cập liên tục vào các thiết bị bị xâm nhập.

Stealer che giấu các tệp payload của nó bằng cách sử dụng các tên vô hại như sysupdater.dat để tránh bị phát hiện trong quá trình kiểm tra hệ thống thông thường.

Né tránh Phát hiện và Khả năng Khai thác Lỗ hổng Zero-day

Khả năng né tránh phát hiện chống vi-rút của ModStealer cho thấy việc triển khai các kỹ thuật che chắn nâng cao và có thể là các phương pháp khai thác lỗ hổng zero-day chưa được tích hợp vào các hệ thống phát hiện dựa trên chữ ký truyền thống. Điều này đặt ra thách thức đáng kể cho các giải pháp an ninh mạng hiện có.

Đánh giá Mục tiêu và Rủi ro

Việc nhắm mục tiêu vào các nhà phát triển và chủ sở hữu tiền điện tử phản ánh việc ra quyết định chiến lược của kẻ đe dọa dựa trên lợi tức đầu tư tiềm năng:

• Nhà phát triển thường sở hữu quyền hệ thống nâng cao và quyền truy cập vào tài sản trí tuệ có giá trị, mã nguồn và cơ sở hạ tầng phát triển.
• Chủ sở hữu tiền điện tử đại diện cho các mục tiêu có giá trị cao do tính chất không thể đảo ngược của các giao dịch blockchain và tài sản tài chính đáng kể thường được lưu trữ trong các ví dựa trên trình duyệt.

Việc áp dụng rộng rãi tiền điện tử đã tạo ra một bề mặt tấn công lớn hơn, với nhiều người dùng lưu trữ tài sản kỹ thuật số đáng kể trong các tiện ích mở rộng trình duyệt hoạt động trong các môi trường kỹ thuật số vốn có rủi ro.

Biện pháp Phòng ngừa và Giảm thiểu

Các chuyên gia bảo mật khuyến nghị một số biện pháp phòng thủ cho các nhóm người dùng có rủi ro cao:

Đối với Nhà phát triển

• Xác thực tính hợp pháp của các nhà tuyển dụng và các miền liên quan trước khi phản hồi các lời mời hoặc tải xuống bất kỳ tài nguyên nào.
• Cẩn thận với các quảng cáo việc làm không mong muốn, đặc biệt là những quảng cáo yêu cầu tải xuống các công cụ hoặc phần mềm không quen thuộc.
• Sử dụng các môi trường ảo (VM) hoặc hộp cát để kiểm tra các công cụ và tài nguyên mới trước khi triển khai chúng trên môi trường phát triển chính.

Đối với Người dùng Tiền điện tử

• Sử dụng ví phần cứng (hardware wallets) để lưu trữ tài sản tiền điện tử có giá trị.
• Kích hoạt xác thực đa yếu tố (MFA) trên tất cả các tài khoản và tiện ích mở rộng ví.
• Kiểm tra kỹ địa chỉ ví và nội dung clipboard trước khi thực hiện giao dịch.
• Thường xuyên sao lưu các cụm từ khôi phục và khóa riêng.
• Sử dụng các trình duyệt chuyên dụng chỉ cho giao dịch tiền điện tử, tránh cài đặt các tiện ích mở rộng không cần thiết.

Thực hành Bảo mật Chung

• Giữ tất cả phần mềm, bao gồm hệ điều hành, trình duyệt và tiện ích mở rộng, được cập nhật lên các bản vá bảo mật mới nhất.
• Sử dụng các giải pháp bảo mật đáng tin cậy và đảm bảo chúng được cập nhật thường xuyên.
• Cẩn trọng với các email, tin nhắn hoặc liên kết đáng ngờ (phishing).
• Thường xuyên xem xét và xóa các ứng dụng hoặc tiện ích mở rộng trình duyệt không cần thiết.

Bối cảnh Mối đe dọa Ngày càng Tăng

Sự xuất hiện của mã độc ModStealer là sự tiếp nối xu hướng đáng lo ngại trong sự phát triển của phần mềm độc hại nhắm mục tiêu vào macOS trong suốt năm 2024. Sự tinh vi ngày càng tăng của các mối đe dọa này thách thức quan niệm sai lầm phổ biến rằng các hệ thống Apple vốn dĩ an toàn hơn các nền tảng khác.

Khả năng của phần mềm độc hại trong việc vượt qua các cơ chế bảo mật tích hợp của Apple, bao gồm Gatekeeper, làm nổi bật những điểm yếu tiềm tàng trong kiến trúc bảo mật của công ty khi đối mặt với các mối đe dọa dai dẳng nâng cao (APT). Điều này cho thấy người dùng macOS không còn có thể chỉ dựa vào các tính năng bảo mật tích hợp để tự bảo vệ trước các tác nhân đe dọa có quyết tâm cao.

ModStealer đại diện cho một sự leo thang đáng kể về sự tinh vi và độ chính xác trong việc nhắm mục tiêu của phần mềm độc hại macOS. Khả năng đa nền tảng, cơ chế duy trì quyền truy cập tiên tiến và trọng tâm cụ thể vào các mục tiêu có giá trị cao chứng minh bối cảnh mối đe dọa đang phát triển mà người dùng Apple phải đối mặt.

Việc công bố kỹ thuật hạn chế xung quanh mối đe dọa này nhấn mạnh tầm quan trọng của nghiên cứu bảo mật độc lập và nhu cầu chia sẻ thông tin tình báo về mối đe dọa (threat intelligence) toàn diện trong cộng đồng an ninh mạng. Khi các mối đe dọa infostealer trên Mac tiếp tục trở nên phổ biến và hiệu quả hơn, người dùng phải áp dụng các biện pháp bảo mật chủ động thay vì chỉ dựa vào các cơ chế bảo vệ phản ứng.