Cảnh báo mã độc PamStealer: Giả mạo ứng dụng Maccy để đánh cắp mật khẩu người dùng macOS
Các nhà nghiên cứu bảo mật vừa phát hiện mã độc PamStealer, một loại thông tin stealer nhắm vào người dùng macOS thông qua các trang web giả mạo ứng dụng Maccy để đánh cắp mật khẩu hệ...
Các chuyên gia tại Jamf Threat Labs vừa phát hiện một loại mã độc mới mang tên PamStealer, nhắm mục tiêu vào hệ điều hành macOS. Mã độc này sử dụng các kỹ thuật tinh vi để lừa người dùng cài đặt, sau đó chiếm đoạt thông tin nhạy cảm và mật khẩu đăng nhập hệ thống.
Table Of Content
Phương thức lây nhiễm tinh vi
PamStealer được ngụy trang dưới dạng một tệp AppleScript (.scpt) giả mạo Maccy – một ứng dụng quản lý clipboard mã nguồn mở phổ biến. Kẻ tấn công sử dụng các trang web giả mạo (như maccyapp[.]com) để dụ dỗ người dùng tải xuống tệp tin độc hại.
Điểm đáng chú ý của PamStealer là quy trình thực thi nhiều giai đoạn:
- Giai đoạn 1: Tệp AppleScript chứa mã JavaScript for Automation (JXA) sẽ kiểm tra môi trường hệ thống. Mã độc chỉ kích hoạt trên các máy Mac sử dụng chip Apple Silicon và tránh các khu vực địa lý cụ thể (như Đông Âu).
- Giai đoạn 2: Sau khi vượt qua các bước kiểm tra, mã độc tải xuống một tệp nhị phân Mach-O viết bằng ngôn ngữ Rust. Tệp này giả dạng ứng dụng Finder để thu thập dữ liệu từ trình duyệt, ví tiền điện tử, iCloud Keychain và clipboard.
Kỹ thuật đánh cắp mật khẩu qua PAM
Tên gọi “PamStealer” xuất phát từ khả năng lợi dụng Pluggable Authentication Modules (PAM) trên macOS. Mã độc hiển thị một yêu cầu nhập mật khẩu hệ thống giả mạo. Sau khi người dùng nhập, nó sử dụng API của PAM để xác thực mật khẩu đó ngay tại chỗ. Nếu sai, nó sẽ liên tục yêu cầu người dùng nhập lại cho đến khi thu được mật khẩu chính xác.
Để xóa dấu vết, sau khi đã lấy được thông tin, mã độc sẽ hiển thị một thông báo lỗi giả mạo rằng “Maccy bị hỏng và cần chuyển vào Thùng rác”, bắt chước thông báo của Gatekeeper để người dùng tự tay xóa tệp tin độc hại mà không nghi ngờ.
Khuyến cáo bảo mật
Alex Rodionov, nhà phát triển của ứng dụng Maccy chính thức, đã lên tiếng cảnh báo người dùng chỉ nên tải ứng dụng từ trang web duy nhất là maccy.app. Các chuyên gia bảo mật cũng khuyến nghị người dùng macOS nên thận trọng khi tải các tệp tin từ nguồn không xác định, ngay cả khi chúng trông giống như các phần mềm mã nguồn mở quen thuộc.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.