14/07/2026 - 17:34

Phát hiện mã độc CrashStealer giả mạo công cụ báo lỗi của Apple để đánh cắp dữ liệu 

Các chuyên gia an ninh mạng vừa phát hiện một dòng mã độc đánh cắp thông tin mới có tên CrashStealer nhắm vào hệ điều hành macOS (trên máy tính xách tay Macbook, máy tính để bàn Mac mini, iMac, và Mac Pro). Mã độc này ngụy trang dưới dạng công cụ báo cáo sự cố của Apple nhằm đánh lừa người dùng, từ đó đánh cắp mật khẩu, dữ liệu Keychain và thông tin từ hàng chục ví tiền điện tử.

Ảnh: Bleeping Computer

Theo các nhà nghiên cứu, CrashStealer bắt đầu được theo dõi từ tháng 5 khi vẫn đang trong giai đoạn phát triển. Đến đầu tháng 7, mã độc này đã xuất hiện trong các cuộc tấn công thực tế.

Giả mạo công cụ hệ thống của Apple

CrashStealer được thiết kế để giả dạng thành phần hệ thống của Apple bằng cách sử dụng tên "CrashReporter.app", khiến người dùng khó nhận ra đây là phần mềm độc hại. Ngoài ra, mã độc còn tạo thành phần khởi chạy LaunchAgent mang tên "com.apple.crashreporter.helper", đồng thời sao chép biểu tượng và siêu dữ liệu của công cụ hợp pháp để tăng tính thuyết phục.

Các chuyên gia của hãng bảo mật Jamf cho biết mã độc được phát tán thông qua trình cài đặt có tên "Werkbit Setup", đã được ký số và chứng thực của Apple. Điều này cho phép nó vượt qua cơ chế bảo vệ Gatekeeper tích hợp sẵn trên hệ điều hành macOS mà không hiển thị bất kỳ cảnh báo nào cho người dùng.

Đánh cắp mật khẩu quản trị để truy cập Keychain

Sau khi được khởi chạy, CrashStealer hiển thị cửa sổ yêu cầu nhập mật khẩu quản trị macOS giả mạo, khiến người dùng tin rằng hệ thống đang cần xác thực để thực hiện một tác vụ hợp lệ.

Nếu người dùng nhập mật khẩu, mã độc sẽ kiểm tra tính chính xác bằng công cụ dòng lệnh “dscl”. Trường hợp nhập sai, CrashStealer sẽ hiển thị thông báo lỗi xác thực và yêu cầu nhập lại, giúp tăng khả năng lấy được mật khẩu chính xác.

Mật khẩu này cho phép truy cập Keychain - kho lưu trữ bảo mật của macOS, nơi chứa nhiều dữ liệu quan trọng như thông tin đăng nhập trình duyệt web Safari, mật khẩu mạng WiFi, mật khẩu của các ứng dụng, khóa mã hóa, chứng chỉ số và token xác thực.

Nhắm mục tiêu hơn 80 ví tiền điện tử và 14 trình quản lý mật khẩu

Ngoài Keychain, CrashStealer còn thu thập nhiều dữ liệu quan trọng khác, bao gồm:

- Thông tin đăng nhập và cookie của các trình duyệt web Chromium và Firefox.

- Dữ liệu từ hơn 80 tiện ích mở rộng ví tiền điện tử, trong đó có MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, Exodus, Keplr và Solflare.

- Thông tin từ 14 ứng dụng quản lý mật khẩu, gồm 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass và RoboForm.

- Các tập tin của người dùng trong các thư mục Documents và Downloads, đồng thời bỏ qua các tập tin đa phương tiện dung lượng lớn, trình cài đặt và thư mục hệ thống để giảm nguy cơ bị phát hiện.

Chiến dịch phát tán được chuẩn bị kỹ lưỡng

Jamf cho biết chưa xác định được chính xác phương thức phát tán ban đầu của CrashStealer. Tuy nhiên, trình cài đặt Werkbit Setup được lưu trữ trên một trang web phần mềm giả mạo đăng ký vào cuối tháng 6.

Đáng chú ý, người dùng chỉ có thể tải xuống tập tin cài đặt khi nhập đúng một mã PIN cuộc họp. Điều này cho thấy chiến dịch phát tán được kiểm soát chặt chẽ và chỉ nhắm đến các mục tiêu đã được lựa chọn trước.

Các chuyên gia của Jamf đánh giá đây là một chiến dịch được đầu tư kỹ lưỡng, chú trọng khả năng ẩn mình thông qua việc sử dụng trình cài đặt đã được chứng thực bởi Apple và kết hợp nhiều kỹ thuật né tránh phát hiện. Báo cáo của hãng cũng đã công bố bộ chỉ dấu tấn công, bao gồm tên, mã băm của các tập tin độc hại cùng thông tin về hạ tầng phát tán để hỗ trợ các tổ chức và chuyên gia bảo mật phát hiện, ngăn chặn mối đe dọa này.

LÊ PHI (Theo Bleeping Computer)

Chia sẻ bài viết