Phần mềm độc hại MacOS nhắm mục tiêu Bitcoin, ví tiền điện tử Exodus

Theo các nhà nghiên cứu của Kaspersky, phần mềm độc hại mới nhắm mục tiêu đến người dùng Apple ở Mỹ và Đức đang lây nhiễm các ứng dụng ví tiền điện tử Bitcoin và Exodus bằng một Trojan được phân phối thông qua phần mềm vi phạm bản quyền.

Phần mềm độc hại được phân phối qua các ứng dụng bị bẻ khóa và có thể thay thế các ứng dụng ví tiền điện tử Exodus và Bitcoin được cài đặt trên máy của người dùng bằng các phiên bản bị nhiễm nhằm đánh cắp các cụm từ khôi phục bí mật sau khi ví được mở khóa.

Báo cáo được công bố trong tuần này, lưu ý những kẻ tấn công sử dụng bản ghi DNS TXT để gửi tập lệnh Python được mã hóa cho nạn nhân của chúng như là giai đoạn lây nhiễm thứ hai.

Sergey Puzan, chuyên gia bảo mật tại Kaspersky giải thích: “Quy trình thay thế ứng dụng ví rất đơn giản vì ở giai đoạn này, phần mềm độc hại đã có quyền truy cập root vào máy tính, được cấp trong giai đoạn lây nhiễm đầu tiên”.

Phần mềm độc hại chỉ cần xóa ứng dụng cũ khỏi thư mục “/Applications/” và thay thế nó bằng một ứng dụng mới độc hại. Sau khi cài đặt và quá trình vá lỗi, các ứng dụng sẽ hoạt động và người dùng không biết về phần mềm độc hại đang chạy ẩn.

Khi người dùng khởi chạy các ứng dụng ví bị xâm nhập này, phần mềm độc hại sẽ gửi dữ liệu, bao gồm các cụm từ hạt giống hoặc mật khẩu ví, đến máy chủ ra lệnh và kiểm soát (C2) do kẻ tấn công kiểm soát.

Điều này có thể dẫn đến việc những kẻ tấn công có toàn quyền kiểm soát ví kỹ thuật số của nạn nhân.

Puzan cho biết: “Chúng tôi không biết tại sao phần mềm độc hại lại nhắm mục tiêu cụ thể vào các phiên bản macOS ‘mới’, nhưng có vẻ như chiến dịch này vẫn đang trong quá trình phát triển”. “Chúng tôi đã cố gắng nhận được các bản cập nhật chức năng cho cửa hậu giai đoạn cuối nhưng không nhận được lệnh nào từ máy chủ.”

Ông nói thêm rằng không có lý do cụ thể nào khiến kẻ tấn công tập trung vào macOS 13.6 (Ventura) trở lên.

Puzan giải thích: “Lý do duy nhất khiến các tác nhân độc hại sử dụng các phiên bản ứng dụng bị bẻ khóa là để hạ thấp sự cảnh giác của người dùng và nhắc họ nhập mật khẩu quản trị viên, từ đó cấp quyền truy cập root vào quy trình độc hại”.

Ông cho biết hình thức bảo vệ khỏi các mối đe dọa như vậy là tránh tải xuống bất kỳ ứng dụng bị bẻ khóa hoặc sửa đổi nào, ngay cả từ các nguồn nổi tiếng và đáng tin cậy.

Puzan nói: “Mặc dù đây không phải là một phương pháp hoàn hảo nhưng nó làm giảm đáng kể khả năng thỏa hiệp”. 

John Bambenek, chủ tịch tại Bambenek Consulting, cho biết mặc dù việc sử dụng các ứng dụng lậu làm phương tiện phát tán phần mềm độc hại không phải là một kỹ thuật đặc biệt mới, nhưng việc lựa chọn các ứng dụng macOSX có chức năng đánh cắp ví tiền điện tử là duy nhất.  

Ông giải thích: “Vì biện pháp bảo mật để ngăn chặn việc đánh cắp tiền điện tử phụ thuộc vào quyền riêng tư của khóa ví riêng và cụm mật khẩu, nên việc đánh cắp cả hai nghĩa là kẻ tấn công có thể kiếm tiền ngay lập tức từ nạn nhân”.

Các mối đe dọa ngày càng tăng đối với Ví tiền điện tử 

Vào năm 2023, có rất nhiều chiến dịch độc hại nhắm vào chủ sở hữu ví tiền điện tử, nhưng phát hiện của Kaspersky chỉ ra rằng một số kẻ tấn công hiện đang tiến xa hơn để đảm bảo chúng truy cập được nội dung ví tiền điện tử của nạn nhân trong khi không bị phát hiện càng lâu càng tốt.

Puzan nói: “Mặc dù việc dự đoán các mối đe dọa mà chúng ta sẽ phải đối mặt vào năm 2024 là một thách thức, nhưng sự phổ biến ngày càng tăng của tiền điện tử đang thu hút hoạt động tội phạm ngày càng gia tăng”. 

Adam Neel, kỹ sư phát hiện mối đe dọa tại Critical Start, lưu ý rằng các tác nhân độc hại đang điều chỉnh các kỹ thuật của chúng để lợi dụng hành vi và sở thích của người dùng tiền điện tử.

Ông nói: “Họ sử dụng các chiến thuật lừa đảo xã hội, chẳng hạn như cung cấp phần mềm vi phạm bản quyền, để dụ nạn nhân tải xuống phần mềm độc hại”. “Khả năng của phần mềm độc hại thay thế các ứng dụng ví hợp pháp và tiếp tục hoạt động ngay cả khi máy chủ C2 không phản hồi thể hiện mức độ tồn tại lâu dài có thể gây khó khăn cho người dùng trong việc phát hiện và loại bỏ.”

Bambenek lưu ý rằng nhiều biện pháp bảo vệ do hệ điều hành cung cấp cần phải được vô hiệu hóa một cách rõ ràng để đưa các ứng dụng này lên hệ thống ngay từ đầu, vì vậy cơ chế bảo vệ lớn nhất là chỉ tránh phần mềm vi phạm bản quyền và các ứng dụng nguồn từ cửa hàng ứng dụng chính thức.

Ông nói: “Đối với những người dùng vẫn muốn sử dụng các ứng dụng lậu, họ nên giữ các ứng dụng tiền điện tử và ví riêng của họ trên các máy an toàn chưa tải xuống và cài đặt phần mềm đó trên đó”. 

Neel cho biết người dùng phải tiếp tục thực hiện các biện pháp phòng ngừa, đặc biệt là khi lưu trữ số lượng lớn tiền kỹ thuật số.

Ông nói: “Tiền điện tử vẫn là mục tiêu hấp dẫn đối với tội phạm mạng, vì vậy những kẻ độc hại sẽ có động lực để cải tiến hành vi và công nghệ của chúng”. 

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets