Phần mềm độc hại mới có tên FrigidStealer vừa được các chuyên gia an ninh mạng phát hiện, nhắm vào người dùng macOS thông qua các bản cập nhật giả mạo trình duyệt như Chrome và Safari. Đây là một phần trong chiến dịch tấn công của nhóm tin tặc TA2727, được biết đến với việc sử dụng các trang web bị xâm nhập để phát tán phần mềm độc hại.
FrigidStealer: Nguy hiểm như thế nào?
FrigidStealer hoạt động bằng cách lừa người dùng tải xuống và cài đặt ứng dụng độc hại từ một trang web giả mạo. Khi người dùng truy cập vào các trang web bị nhiễm mã độc, họ sẽ được chuyển hướng đến một trang hiển thị thông báo “cập nhật trình duyệt”. Nếu người dùng tải xuống và tự ý cài đặt ứng dụng này, mã độc sẽ vượt qua cơ chế bảo mật Gatekeeper của macOS, từ đó chiếm quyền kiểm soát hệ thống.
Phần mềm FrigidStealer được viết bằng ngôn ngữ Go và được ký tự động nhằm qua mặt một số biện pháp bảo vệ. Đặc biệt, nó sử dụng AppleScript để yêu cầu người dùng nhập mật khẩu hệ thống, giúp mã độc có quyền truy cập cao hơn và đánh cắp thông tin nhạy cảm.
Những thông tin mà FrigidStealer có thể đánh cắp:
- Dữ liệu từ trình duyệt web (cookie, thông tin đăng nhập, lịch sử duyệt web).
- Ghi chú cá nhân từ ứng dụng Apple Notes.
- Thông tin liên quan đến tiền mã hóa từ các ứng dụng ví điện tử.
Nhóm tin tặc đằng sau FrigidStealer
FrigidStealer là sản phẩm của nhóm tin tặc TA2727, một tổ chức được cho là hoạt động từ tháng 9/2022. Nhóm này đã thực hiện nhiều chiến dịch tấn công trên nhiều nền tảng, bao gồm:
- Windows: Phát tán mã độc Lumma Stealer thông qua file cài đặt giả mạo (.MSI).
- Android: Lây nhiễm trojan ngân hàng Marcher, một phần mềm độc hại đã tồn tại hơn 10 năm.
- macOS: Tấn công bằng FrigidStealer thông qua các trang web giả danh cập nhật trình duyệt.
Nhóm TA2727 cũng có liên hệ với các nhóm tin tặc khác như TA2726 và TA569, chuyên hoạt động với các hệ thống phân phối mã độc (TDS) để phát tán phần mềm độc hại như SocGholish (FakeUpdates).
Tại sao macOS lại trở thành mục tiêu?
Mặc dù macOS ít phổ biến trong môi trường doanh nghiệp hơn so với Windows, các nhóm tin tặc như TA2727 vẫn đang tăng cường nhắm mục tiêu vào người dùng Mac. Điều này cho thấy rằng các nền tảng của Apple không còn “miễn nhiễm” với các chiến dịch tấn công mạng tinh vi.
Theo các chuyên gia, các trang web bị xâm nhập sẽ tiếp tục được sử dụng để phát tán mã độc tùy chỉnh, nhắm vào người dùng dựa trên thiết bị và vị trí địa lý của họ.
Làm thế nào để bảo vệ bạn khỏi FrigidStealer?
Để tránh trở thành nạn nhân của các phần mềm độc hại như FrigidStealer, bạn nên áp dụng các biện pháp bảo mật sau:
- Chỉ tải phần mềm từ nguồn chính thức: Luôn tải các bản cập nhật trình duyệt từ trang web chính thức hoặc App Store của Apple.
- Kiểm tra chữ ký ứng dụng: Đảm bảo rằng bất kỳ phần mềm nào bạn cài đặt đều có chữ ký hợp lệ từ nhà phát triển đáng tin cậy.
- Cập nhật hệ điều hành: Luôn cập nhật macOS và các phần mềm bảo mật để vá các lỗ hổng bảo mật mới nhất.
- Sử dụng phần mềm chống mã độc: Cài đặt các phần mềm bảo mật uy tín để bảo vệ thiết bị khỏi phần mềm độc hại.
- Cảnh giác với thông báo cập nhật giả mạo: Nếu bất kỳ trang web nào yêu cầu bạn cập nhật trình duyệt, hãy kiểm tra kỹ trước khi thực hiện.
FrigidStealer là lời nhắc nhở rằng ngay cả hệ điều hành macOS, vốn được biết đến với độ bảo mật cao, cũng không tránh khỏi các cuộc tấn công mạng ngày càng tinh vi. Người dùng cần nâng cao ý thức bảo mật, cẩn thận với các trang web và ứng dụng không rõ nguồn gốc.
Trên đây là những chia sẻ của FoxAI về phần mềm độc hại macOS. Theo dõi các cảnh báo bảo mật từ FoxAI để cập nhật thông tin mới nhất về các mối đe dọa mạng và cách phòng tránh.
