Cảnh báo mã độc ăn cắp thông tin dữ liệu cá nhân người dùng macOS

Các nhà nghiên cứu thuộc công ty an ninh mạng ESET của Slovakia đã phát hiện phần mềm độc hại có tên CloudMensis đang nhắm mục tiêu vào thiết bị macOS. Phần mềm này được cho là sử dụng các dịch vụ lưu trữ đám mây công cộng như pCloud, Yandex Disk và Dropbox để nhận lệnh của kẻ tấn công và đánh cắp tệp.

Các khả năng của CloudMensis cho thấy những người tạo ra đã thiết kế ra nó nhằm mục đích thu thập thông tin từ máy Mac của nạn nhân và phần mềm độc hại này có thể lấy cắp tài liệu và ghi lại thao tác phím, liệt kê email hay file đính kèm, liệt kê file từ bộ nhớ di động và chụp màn hình.

Dẫu CloudMensis chắc chắn là một mối đe dọa đối với người dùng Mac, nhưng việc phân phối cực kỳ hạn chế cho thấy nó đang được sử dụng như một phần của những đối tượng mục tiêu. Dựa trên những gì các nhà nghiên cứu của ESET đã quan sát được cho đến nay, các tội phạm mạng đứng sau việc triển khai phần mềm độc hại này dường như đang nhắm mục tiêu đến những người dùng cụ thể mà họ đặc biệt chú ý.

Các nhà nghiên cứu ESET cho biết: “Chúng tôi vẫn chưa biết CloudMensis được phân phối ban đầu như thế nào và mục tiêu là ai. Chất lượng chung của những đoạn mã và không có sự xáo trộn nào cho thấy các tác giả có thể không quen với việc phát triển phần mềm cho Mac và không quá cao tay. Tuy nhiên, rất nhiều nguồn đã được đưa vào nhằm biến CloudMensis trở thành một công cụ gián điệp mạnh mẽ và là mối đe dọa đối với các mục tiêu tiềm năng.”

Các malware thường “gọi về nhà” để nhận lệnh và tải về các thành phần malware bổ sung, và hành động này sẽ buộc phải kết nối với một máy chủ riêng do kẻ tấn công điều hành. CloudMensis khác thường ở chỗ nó có thể chạy trên các dịch vụ lưu trữ đám mây.

Sau khi có được quyền thực thi mã và đặc quyền quản trị trên máy Mac bị xâm nhập, nó chạy malware ở giai đoạn đầu, truy xuất giai đoạn thứ 2 với các tính năng bổ sung từ dịch vụ lưu trữ đám mây.

Giai đoạn thứ 2 là một thành phần lớn hơn nhiều, được đóng gói với các tính năng thu thập thông tin từ máy Mac bị xâm nhập. Dù có 39 lệnh hiện có sẵn, giai đoạn thứ 2 của CloudMensis nhằm mục đích tách tài liệu, ảnh chụp màn hình, tệp đính kèm email và thông tin khác từ nạn nhân.

CloudMensis sử dụng lưu trữ đám mây để vừa nhận lệnh từ những kẻ điều hành vừa để lọc các file. Hiện tại, nó hỗ trợ 3 nhà cung cấp khác nhau: pCloud, Yandex Disk và Dropbox. Không rõ bằng cách nào malware này có thể đánh bại toàn bộ hệ thống bảo vệ của macOS, bởi theo ESET, nó không tận dụng bất kỳ lỗ hổng chưa từng được công bố nào.

Trên hết, một phân tích về siêu dữ liệu từ cơ sở hạ tầng lưu trữ đám mây cho thấy các tài khoản pCloud được tạo vào ngày 19 tháng 1 năm 2022, với các cuộc tấn công bắt đầu vào ngày 4 tháng 2 và đạt đỉnh vào tháng 3.

Tính chất chung của code thiếu đi sự xáo trộn các đoạn mã cho thấy tác giả không quá quen trong việc lập trình và phát triển Mac. Tuy nhiên, rất nhiều nguồn lực đã được sử dụng để biến CloudMensis trở thành một công cụ gián điệp mạnh mẽ và là mối đe dọa đối với các mục tiêu tiềm năng”.

Hiện tại, spyware này dường như đang được sử dụng cho những đối tượng được nhắm mục tiêu cụ thể, đồng nghĩa rằng hầu hết các chủ sở hữu máy Mac không cần phải lo lắng về khả năng có thể trở thành nạn nhân của nó. Dẫu thế, điều đáng lo ngại là CloudMensis có thể phá vỡ các biện pháp bảo mật từ xa trong macOS mà không khai thác lỗ hổng zero-day. Tốt hơn hết nên tuân thủ một số biện pháp phòng ngừa an ninh mạng đơn giản. Đặc biệt nhất, tránh mở các file đính kèm không rõ nội dung, ngay cả khi chúng xuất hiện từ một địa chỉ đã biết, và chỉ tải về phần mềm từ Mac App Store hoặc trang web của các nhà phát triển mà bạn tin tưởng.

An Dương (T/h)