CrashStealer: Malware macOS mới sử dụng dropper được chứng thực để vượt qua Gatekeeper
Các nhà nghiên cứu bảo mật vừa phát hiện CrashStealer, một loại malware đánh cắp thông tin trên macOS được thiết kế tinh vi với khả năng vượt qua kiểm duyệt Gatekeeper nhờ sử dụng dropper đã được...
Các chuyên gia bảo mật tại Jamf Threat Labs vừa cảnh báo về sự xuất hiện của CrashStealer, một loại malware đánh cắp thông tin (infostealer) nhắm vào hệ điều hành macOS. Điểm đáng chú ý của mã độc này là nó được viết bằng C++ thuần túy thay vì sử dụng các wrapper dựa trên Objective-C hay AppleScript như các dòng malware thông thường.
Table Of Content
Cơ chế vượt qua Gatekeeper
CrashStealer được phân phối thông qua một tệp disk image có tên “Werkbit.app”. Điều khiến loại malware này trở nên nguy hiểm là cả tệp disk image và tệp nhị phân bên trong đều đã được Apple notarized (chứng thực) và sở hữu ID nhà phát triển hợp lệ. Nhờ đó, nó dễ dàng vượt qua các cơ chế kiểm tra an ninh Gatekeeper của Apple.
Đáng chú ý, trang web phân phối werkbit[.]io sử dụng cơ chế bảo mật bằng mã PIN, chỉ cho phép những người dùng có mã truy cập hợp lệ mới có thể tải xuống tệp tin, nhằm tránh sự phát hiện từ các hệ thống quét tự động.
Quy trình lây nhiễm và đánh cắp dữ liệu
Sau khi người dùng thực thi tệp tin, malware sẽ thực hiện các bước sau:
- Tải payload: Tệp thực thi “veltod” kết nối với một kho lưu trữ GitHub để lấy tệp “sys.cache”, từ đó trích xuất lệnh curl để tải script shell và payload chính là “CrashReporter.dmg”.
- Thiết lập persistence: Malware thiết lập cơ chế tự khởi chạy thông qua LaunchAgent.
- Xác thực và thu thập: Trước khi đánh cắp dữ liệu, nó yêu cầu người dùng nhập mật khẩu hệ thống để xác thực cục bộ. Sau khi thành công, nó sẽ mở khóa keychain và bắt đầu thu thập dữ liệu từ trình duyệt (Chrome, Brave, Edge, Opera…), ví tiền điện tử (MetaMask, Phantom, Trust Wallet…), các trình quản lý mật khẩu (1Password, Bitwarden, LastPass…) và các tệp tin cá nhân trong thư mục Documents/Downloads.
- Exfiltration: Dữ liệu sau khi thu thập sẽ được mã hóa bằng AES-GCM và gửi về server của kẻ tấn công.
Khả năng kháng phân tích
Theo các nhà nghiên cứu, CrashStealer thể hiện sự đầu tư kỹ lưỡng về mặt kỹ thuật. Ngoài việc sử dụng mã hóa AES-GCM cho dữ liệu đánh cắp, malware này còn tích hợp các kỹ thuật chống phân tích (anti-analysis) như làm phẳng luồng điều khiển (control-flow flattening), mã hóa chuỗi ký tự (encrypted strings) và các lớp chống debug (anti-debugging) phức tạp.
Việc phát hiện các hạ tầng backend dùng chung cho thấy CrashStealer có thể là một phần của chiến dịch tấn công đa nền tảng quy mô lớn hơn. Người dùng macOS được khuyến cáo nên thận trọng khi tải xuống các ứng dụng từ những nguồn không xác định, ngay cả khi chúng có vẻ ngoài hợp lệ.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.