Xuất hiện phần mềm đánh cắp mật khẩu và tiền mã hóa trên Mac

Người dùng MacOS nên cảnh giác với phần mềm độc hại có tên CrashStealer. Mã độc này giả mạo báo cáo sự cố của Apple đánh cắp nhiều loại thông tin nhạy cảm.

Mã độc này nhắm vào hơn 80 tiện ích mở rộng ví tiền điện tử và 14 trình quản lý mật khẩu như 1Password, LastPass và Dashlane. Nó còn tìm kiếm thông tin giá trị trong các thư mục Documents và Downloads.

CrashStealer thu thập dữ liệu trình duyệt, dữ liệu từ các trình quản lý mật khẩu, các tiện ích mở rộng ví tiền điện tử và dữ liệu trong Keychain.

mac-mail.jpg
Mã độc này đánh lừa người dùng rằng đây là công cụ báo cáo sự cố chính hãng của Apple.

Jamf lần đầu phát hiện mã độc này xuất hiện trong một ứng dụng giả mạo đã được Apple chứng thực có tên Werkbit. Nhờ được chứng thực (notarization), mã độc này không bị Gatekeeper - một phần của hệ thống bảo mật macOS - ngăn chặn.

Ứng dụng này trông rất hợp pháp và sử dụng quy trình cài đặt điển hình của phần mềm tải về từ web trên macOS, với các bước được mô tả chi tiết trên trang web của Jamf.

Một ứng dụng CrashReporter.app giả mạo được tải về thông qua Werkbit, nhằm đánh lừa người dùng rằng đây là công cụ báo cáo sự cố chính hãng của Apple. Người dùng khi nhấp vào ứng dụng này có thể dễ dàng nhầm tưởng đây là tiện ích hợp pháp của Apple.

CrashStealer yêu cầu quyền truy cập toàn bộ ổ đĩa “cho mục đích quản trị hệ thống” và sử dụng cửa sổ nhập mật khẩu gốc trông giống hệt yêu cầu xác thực của macOS.

Mật khẩu mà người dùng nhập vào sẽ được sử dụng để truy cập vào Keychain đăng nhập. Dữ liệu thu thập được sẽ được mã hóa bằng AES–256-GCM thông qua CommonCrypto của Apple và gửi đến địa chỉ IP của kẻ tấn công.

nguy-hiem-khon-luong-tu-ma-doc-tong-tien-macos-04248-104582.jpg
Hơn 80 tiện ích mở rộng ví tiền điện tử và 14 trình quản lý mật khẩu đều nằm trong tầm ngắm của CrashStealer.

Jamf nhận định cách CrashStealer được triển khai “cho thấy sự tinh vi thực sự”, với các bước che giấu khiến nó khác biệt so với các mã độc đánh cắp thông tin thông thường. Mã độc này đã được báo cáo cho Apple sau khi bị phát hiện lần đầu vào tháng 5 và tiếp tục được ghi nhận hoạt động vào tháng 7.

Apple đã thu hồi chứng chỉ ký ứng dụng của Werkbit, do đó phương thức tấn công cụ thể mà Jamf nêu ra đã bị vô hiệu hóa, nhưng mã độc này vẫn có thể xuất hiện trở lại. Phiên bản gốc của CrashStealer còn yêu cầu mã PIN khi cài đặt, cho thấy nó nhắm vào những đối tượng cụ thể.

Hệ thống chứng thực ứng dụng của Apple nhằm bảo vệ người dùng Mac khỏi phần mềm độc hại, và Apple khẳng định các ứng dụng đã được chứng thực đều được kiểm tra thành phần độc hại. Tuy nhiên, CrashStealer cho thấy vẫn còn những cách để che giấu mã độc khỏi quy trình bảo mật của Apple.

Khi tải phần mềm, người dùng có thể tự bảo vệ mình khỏi CrashStealer bằng cách lưu ý rằng công cụ báo cáo sự cố của Apple đã được tích hợp sẵn trong hệ thống. Bất kỳ phần mềm nào yêu cầu tải về CrashReporter đều là dấu hiệu đáng ngờ, cũng như các ứng dụng yêu cầu nhập mật khẩu hệ thống ngay khi khởi động.

Macbook Neo - Lựa chọn sắc màu giá rẻ của Apple.

[GALLERY] Mã độc giả ChatGPT bùng nổ, doanh nghiệp Việt cần cảnh giác

Tội phạm mạng đang lợi dụng cơn sốt AI để phát tán mã độc giả danh ChatGPT, DeepSeek và Claude, khiến số vụ tấn công doanh nghiệp tại Đông Nam Á tăng gấp 7 lần.

ma-1.png
Làn sóng ứng dụng trí tuệ nhân tạo (AI) đang mở ra nhiều cơ hội cho doanh nghiệp, nhưng đồng thời cũng trở thành "mảnh đất màu mỡ" để tội phạm mạng phát tán mã độc với quy mô chưa từng có, đặc biệt nhắm vào các doanh nghiệp vừa và nhỏ tại Đông Nam Á, trong đó có Việt Nam. Theo báo cáo mới nhất từ Kaspersky, chỉ trong bốn tháng đầu năm 2026, hệ thống của hãng đã ngăn chặn hơn 33.300 cuộc tấn công sử dụng các dịch vụ AI giả mạo, tăng gần 5 lần so với cùng kỳ năm trước, trong khi khu vực Đông Nam Á ghi nhận hơn 1.800 vụ, tăng gần 7 lần.
ma-2.png
Theo các chuyên gia bảo mật, ChatGPT là công cụ AI bị giả mạo nhiều nhất với tỷ lệ khoảng 44%, tiếp theo là DeepSeek chiếm 33% và Claude khoảng 11%. Ngoài ra, OpenClaw, một công cụ AI mới nổi, cũng nhanh chóng bị tin tặc lợi dụng để tạo ra các trang web và tập tin giả nhằm đánh lừa người dùng tải về thiết bị, từ đó mở đường cho các cuộc tấn công mạng tinh vi hơn.

Công cụ lập trình 97 triệu lượt tải bị cài mã độc

LiteLLM, thư viện Python với 97 triệu lượt tải mỗi tháng, bị chèn mã độc nguy hiểm, chỉ bị phát hiện vì lỗi lập trình “vibe-coding” quá cẩu thả.

tai-1.png
LiteLLM là package Python cực kỳ phổ biến, xuất hiện trong hàng loạt dự án lớn với 97 triệu lượt tải mỗi tháng.
tai-2.png
Ngày 24/3, một phiên bản mới bất ngờ được đưa lên PyPI mà không có ghi chú phát hành, ẩn chứa mã độc tinh vi.

Mã độc KadNap chiếm quyền 14.000 router toàn cầu

Mã độc KadNap đã lây nhiễm hơn 14.000 thiết bị mạng, chủ yếu là router của ASUS, biến chúng thành botnet để thực hiện các cuộc tấn công mạng quy mô lớn.

doc-1.png
Một chiến dịch tấn công mạng mới vừa bị phát hiện khi mã độc KadNap đã lây nhiễm hơn 14.000 thiết bị mạng trên toàn cầu. (Ảnh: Cyber Securite)
doc-2.png
Theo báo cáo từ Lumen Technologies, phần lớn thiết bị bị nhiễm là router của ASUS.

Đọc nhiều nhất

Tin mới