Cảnh báo phần mềm độc hại mới trên macOS tìm cách làm rỗng ví tiền điện tử

By: rootdata|2026/07/09 01:22:19
0
Chia sẻ
copy
  • Người dùng Apple lưu trữ hoặc quản lý tiền điện tử đang phải đối mặt với một mối đe dọa an ninh mạng mới. Các nhà nghiên cứu từ Jamf Threat Labs, đội ngũ nghiên cứu an ninh mạng, đã phát hiện một chiến dịch phân phối phiên bản giả của ứng dụng mã nguồn mở Maccy với mục tiêu cài đặt PamStealer, một phần mềm độc hại được thiết kế để đánh cắp mật khẩu, thông tin xác thực và khóa ví tiền điện tử.

Theo báo cáo của công ty, những kẻ tấn công sử dụng một trang web giả mạo trang chính thức của Maccy, một trình quản lý clipboard miễn phí cho macOS, để thuyết phục nạn nhân tải xuống một hình ảnh đĩa độc hại. Khi mở tệp, nó hiển thị hướng dẫn để thực thi từ Trình soạn thảo Kịch bản của Apple, trong khi giữ mã độc ẩn đi, bắt đầu quá trình lây nhiễm.

Khi đã vào hệ thống, phần mềm độc hại xác minh mật khẩu đăng nhập của người dùng thông qua các Mô-đun Xác thực Kết nối (PAM) của macOS. Sau đó, nó tải xuống một tải trọng thứ hai được phát triển bằng cách sử dụng các công cụ gốc của hệ điều hành, một kỹ thuật cho phép nó giảm khả năng bị phát hiện bởi các chương trình bảo mật.

Phần mềm độc hại cũng tạo ra một khóa từ thông tin của thiết bị, chẳng hạn như kiến trúc bộ xử lý, cài đặt khu vực, bố cục bàn phím và múi giờ. Với nó, nó mở khóa một cấu hình mã hóa chứa các hướng dẫn cần thiết để tiếp tục cuộc tấn công.

Nếu việc lây nhiễm thành công, phần mềm độc hại có thể đánh cắp mật khẩu lưu trữ trong các trình duyệt, dữ liệu từ Keychain của macOS, thông tin sao chép trong clipboard và thông tin xác thực liên quan đến ví tiền điện tử. Ngoài ra, nó thiết lập sự tồn tại trên thiết bị và gửi dữ liệu bị đánh cắp đến một máy chủ từ xa thông qua các giao tiếp mã hóa.

Như một phần của cuộc tấn công, chương trình cũng hiển thị một cửa sổ giả mạo trong một trình duyệt tệp yêu cầu quyền truy cập đầy đủ vào đĩa. Điều đặc biệt là thông báo này có thể xuất hiện đến 40 phút sau khi cài đặt, làm khó khăn cho người dùng trong việc liên kết yêu cầu với việc tải xuống ban đầu. Nếu cấp quyền, phần mềm độc hại có quyền truy cập vào thông tin được bảo vệ, bao gồm email, tin nhắn và bản sao lưu từ Time Machine.

Công ty giải thích rằng loại chiến dịch này chủ yếu phụ thuộc vào kỹ thuật xã hội. Theo Jaron Bradley, giám đốc của Jamf Threat Labs, những kẻ tội phạm mạng mua quảng cáo trên các nền tảng như Google Ads và X để hướng người dùng đến các trang giả mạo có vẻ như cung cấp ứng dụng hợp pháp. Công ty cũng cho biết gần đây đã phát hiện một quảng cáo tài trợ khác trên X phân phối một biến thể của phần mềm độc hại Atomic Stealer thông qua một tài khoản đã được xác minh, tăng cường độ tin cậy của sự lừa đảo.

Mặc dù công ty khẳng định rằng họ vẫn chưa tìm thấy bằng chứng cho thấy PamStealer đang được sử dụng một cách tích cực, nhưng họ đã thông báo cho Apple về những phát hiện của mình. Đến thời điểm hiện tại, công ty vẫn chưa đưa ra bất kỳ bình luận công khai nào về vụ việc.

Các nhà nghiên cứu kết luận rằng chiến dịch này phản ánh một xu hướng ngày càng tăng giữa các tội phạm mạng: ngụy trang phần mềm độc hại như phần mềm hợp pháp và tận dụng các nền tảng đáng tin cậy để phân phối nó. Một báo cáo từ công ty nghiên cứu TRM Labs cho biết rằng trong năm 2026 đã có sự gia tăng về số lượng cuộc tấn công, với tổng thiệt hại lên đến 972 triệu USD, như CriptoNoticias đã chỉ ra.

Đối với người dùng tiền điện tử, những mối đe dọa này đại diện cho một rủi ro quan trọng, vì việc đánh cắp thông tin xác thực hoặc khóa của một ví có thể dẫn đến việc mất mát không thể đảo ngược của các quỹ kỹ thuật số.

Bạn cũng có thể thích

iconiconiconiconiconiconicon
Bộ phận CSKH:@weikecs
Hợp tác kinh doanh:@weikecs
Giao dịch Định lượng & MM:bd@weex.com
Chương trình VIP:support@weex.com