Một chủng mã độc Mac.c đánh cắp thông tin mới dành cho macOS đã xuất hiện, nhanh chóng trở thành đối thủ đáng gờm trong hệ sinh thái Malware-as-a-Service (MaaS) ngầm. Được phát triển công khai bởi tác nhân đe dọa có biệt danh “mentalpositive”, Mac.c là phiên bản cải tiến từ biến thể Atomic MacOS Stealer (AMOS) khét tiếng, được tối ưu hóa cho việc đánh cắp dữ liệu nhanh chóng với dấu vết tối thiểu.

Mac.c: Một Biến Thể Đánh Cắp Thông Tin macOS Mới

Mac.c đại diện cho một bước tiến hóa trong các công cụ đánh cắp thông tin dành cho nền tảng Apple. Nó được thiết kế để đẩy nhanh quá trình lấy cắp dữ liệu, giảm thiểu khả năng bị phát hiện. Sự xuất hiện của mã độc Mac.c này đặc biệt đáng chú ý do cách tiếp cận phát triển công khai của “mentalpositive” trên các diễn đàn dark web, nơi mã nguồn, cập nhật và tính năng mới được chia sẻ rõ ràng. Chiến lược này nhằm xây dựng một cộng đồng người dùng và thiết lập uy tín trong thị trường MaaS macOS đầy cạnh tranh.

Nguồn Gốc và Phát Triển Từ AMOS

Phân tích mã của Moonlock Lab đã tiết lộ những điểm tương đồng gần như hoàn toàn với AMOS, cho thấy khả năng tái sử dụng mã hoặc hợp tác phát triển. Mặc dù “mentalpositive” đã bày tỏ ý định “kinh doanh công bằng” để tránh đối đầu trực tiếp với các nhà phát triển AMOS đã có tên tuổi, mối liên hệ này vẫn làm dấy lên những lo ngại về sự phát triển của các công cụ độc hại trên macOS.

Kỹ Thuật Né Tránh và Khai Thác Hệ Thống

Khả năng né tránh là một đặc điểm cốt lõi của mã độc Mac.c. Nó sử dụng các phương pháp tinh vi để lẩn tránh các cơ chế bảo mật truyền thống.

Khai Thác Tiện Ích Bản Địa macOS

Để thực hiện các hoạt động bí mật, Mac.c khai thác các tiện ích macOS gốc như AppleScript và các API hệ thống. Điều này cho phép nó bắt chước các quy trình hợp pháp, từ đó né tránh hiệu quả các cơ chế phát hiện và phản hồi điểm cuối (EDR) truyền thống. Việc giảm thiểu sự phụ thuộc vào các thư viện bên ngoài giúp tăng cường khả năng tàng hình của mã độc.

Phân Phối và Tối Ưu Hóa Nhằm Đánh Lừa Phát Hiện

Mac.c thường lây nhiễm vào hệ thống thông qua các trình cài đặt trojan hóa, ngụy trang dưới dạng ứng dụng vô hại. Các ví dụ bao gồm các bản crack phần mềm phổ biến như Adobe Creative Suite. Các cải tiến chính của mã độc này bao gồm tối ưu hóa kích thước tệp nhị phân để giảm các dấu hiệu có thể phát hiện được trong quá trình phân tích tĩnh. Nó cũng tích hợp chức năng lấy tệp từ xa thông qua bảng điều khiển quản trị và mở rộng khả năng tương thích với nhiều trình duyệt web.

Một điểm đáng chú ý khác là Mac.c tích hợp tính năng tạo bản dựng động để vượt qua các chữ ký chống vi-rút của Apple XProtect. Điều này đảm bảo mỗi bản sao là duy nhất được làm xáo trộn, gây khó khăn cho việc phát hiện dựa trên chữ ký và tăng cường mối đe dọa mạng macOS này.

Chuỗi Tấn Công và Mục Tiêu Đánh Cắp Dữ Liệu

Chuỗi tấn công của Mac.c được thiết kế để thu thập một loạt dữ liệu nhạy cảm, đặc biệt nhắm vào tài sản kỹ thuật số.

Phương Thức Tấn Công Ban Đầu

Mac.c bắt đầu chuỗi tấn công thông qua các vector lừa đảo (phishing), triển khai một tải trọng chính. Tải trọng này sau đó leo thang lên giai đoạn thứ cấp, khai thác AppleScript để thu thập thông tin xác thực. Kỹ thuật này đã được ghi nhận trong nhiều cuộc tấn công đánh cắp thông tin, cho thấy sự tinh vi trong việc chiếm đoạt tài khoản người dùng. Để biết thêm chi tiết về cách thức thu thập thông tin xác thực, bạn có thể tham khảo các tài liệu liên quan đến phương pháp này tại đây.

Dữ Liệu Nhạy Cảm Bị Nhắm Mục Tiêu

Mã độc này nhắm mục tiêu vào các mục nhập iCloud Keychain, mật khẩu trình duyệt được lưu trữ từ Chrome, Edge, Brave và Yandex. Ngoài ra, nó cũng thu thập dữ liệu ví tiền điện tử từ các tiện ích mở rộng như MetaMask, Phantom và Binance, cũng như siêu dữ liệu hệ thống và các tệp từ các thư mục được xác định trước. Một chiến thuật đặc biệt nguy hiểm liên quan đến việc tạo ra các lời nhắc hệ thống giả mạo, ví dụ như giả danh trò chơi “Innocent Witches” để yêu cầu mật khẩu người dùng, sau đó được lưu trữ dưới dạng văn bản thuần túy để truy cập trái phép sau này.

Đánh Cắp Tài Sản Kỹ Thuật Số

Việc đánh cắp dữ liệu được thực hiện thông qua các kênh liên lạc theo từng giai đoạn đến các máy chủ do kẻ tấn công kiểm soát. Mac.c tập trung mạnh vào các bằng chứng tiền điện tử từ các ví bao gồm Electrum, Exodus, Coinomi, Atomic, Monero, Wasabi và Ledger Live. Sự tập trung này cho thấy mục tiêu chính của mã độc Mac.c là những người đam mê tiền điện tử, cho phép đánh cắp nhanh chóng các tài sản kỹ thuật số như NFT và stablecoin mà người dùng không hề hay biết. Đây là một hình thức rò rỉ dữ liệu nhạy cảm có giá trị cao.

Mô Hình Dịch Vụ và Tác Động Thị Trường

Mac.c không chỉ là một mã độc đơn thuần; nó hoạt động như một dịch vụ, có tác động đáng kể đến thị trường tội phạm mạng.

Giá Cả và Khả Năng Tiếp Cận

Với mức phí đăng ký 1.500 USD mỗi tháng, cùng với khoản phí một lần 1.000 USD cho mô-đun lừa đảo Trezor, Mac.c định giá thấp hơn đáng kể so với chi phí 3.000 USD hàng tháng của AMOS. Mức giá cạnh tranh này giúp “dân chủ hóa” quyền tiếp cận các công cụ đánh cắp thông tin tinh vi, cho phép các tác nhân đe dọa ít nguồn lực hơn cũng có thể tham gia vào các chiến dịch tấn công.

So Sánh với AMOS và Diễn Biến Thị Trường

So với AMOS, Mac.c có ít khả năng tổng thể hơn, hỗ trợ một phạm vi ví và tiện ích mở rộng hẹp hơn. Tuy nhiên, thiết kế tập trung vào tốc độ và hiệu quả chi phí đã giúp nó trở nên phổ biến trong số các tác nhân chuyên phân phối phần mềm độc hại. Sự xuất hiện của mã độc Mac.c có thể làm gián đoạn hệ thống phân cấp đánh cắp thông tin macOS, khả năng châm ngòi cho các cuộc cạnh tranh mới, mặc dù “mentalpositive” đã có những động thái hướng tới quan hệ hữu nghị với các bên khác, cho thấy nỗ lực cùng tồn tại.

Chỉ Số Thỏa Hiệp (IOCs) và Khuyến Nghị Bảo Mật

Việc nhận diện và phản ứng kịp thời với các chỉ số thỏa hiệp (IOCs) là rất quan trọng để bảo vệ hệ thống khỏi mã độc Mac.c.

IOCs Phát Hiện

Moonlock Lab đã xác nhận hiệu quả hoạt động của Mac.c, phát hiện các mẫu trực tiếp trong số người dùng phần mềm CleanMyMac của họ. Các tệp được phát hiện có tên như:

• Installer.dmg
• Installer descrakeador adobe.dmg

Mặc dù những phát hiện này đã ngăn chặn các vụ xâm phạm, chúng cho thấy các chiến dịch phát tán tích cực đang diễn ra, có thể thông qua quảng cáo độc hại (malvertising) và lừa đảo. Xem báo cáo chi tiết từ Moonlock Lab tại đây.

Biện Pháp Phòng Ngừa và Phát Hiện

Những phát hiện của Moonlock Lab nhấn mạnh sự cần thiết của việc tăng cường phân tích hành vi trong các công cụ bảo mật macOS để chống lại các mối đe dọa né tránh như Mac.c. Việc phụ thuộc vào phát hiện dựa trên chữ ký đã được chứng minh là không đủ. Đối với người dùng macOS, việc cảnh giác với các bản tải xuống không mong muốn và xác minh kịp thời các hộp thoại hệ thống là vô cùng quan trọng, đặc biệt đối với những người đang quản lý tài sản tiền điện tử. Khi thị trường MaaS trên dark web phát triển, mã độc Mac.c là một ví dụ điển hình về cách phát triển công khai và định giá cạnh tranh có thể đẩy nhanh sự phổ biến của phần mềm độc hại được thiết kế riêng, gây ra những rủi ro ngày càng tăng đối với an ninh điểm cuối trong hệ sinh thái Apple.