VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể mới của phần mềm đánh cắp thông tin macOS có tên MacSync, được phân phối thông qua một ứng dụng Swift được ký điện tử và chứng thực, giả dạng trình cài đặt ứng dụng nhắn tin để vượt qua các bước kiểm tra Gatekeeper của Apple.

"Không giống như các biến thể MacSync Stealer trước đây chủ yếu dựa vào các kỹ thuật kéo thả vào terminal hoặc ClickFix, mẫu phần mềm này áp dụng một phương pháp tinh vi và không cần sự can thiệp của người dùng hơn," nhà nghiên cứu Thijs Xhaflaire của Jamf cho biết.


Công ty quản lý thiết bị và bảo mật của Apple cho biết phiên bản mới nhất được phân phối dưới dạng ứng dụng Swift đã được ký mã và chứng thực trong tệp hình ảnh đĩa (DMG) có tên "zk-call-messenger-installer-3.9.2-lts.dmg" được lưu trữ trên "zkcall[.]net/download."

Việc được ký và chứng thực có nghĩa là nó có thể chạy mà không bị chặn hoặc gắn cờ bởi các biện pháp kiểm soát bảo mật tích hợp như Gatekeeper hoặc XProtect. Mặc dù vậy, trình cài đặt vẫn hiển thị hướng dẫn yêu cầu người dùng nhấp chuột phải và mở ứng dụng – một thủ thuật phổ biến được sử dụng để vượt qua các biện pháp bảo vệ này. Apple sau đó đã thu hồi chứng chỉ ký mã.

Công cụ tải xuống dựa trên Swift sau đó thực hiện một loạt các kiểm tra trước khi tải xuống và thực thi một kịch bản được mã hóa thông qua một thành phần hỗ trợ. Điều này bao gồm xác minh kết nối internet, đảm bảo khoảng thời gian thực thi tối thiểu khoảng 3600 giây để áp đặt giới hạn tốc độ, loại bỏ các thuộc tính cách ly và xác thực tệp trước khi thực thi.

"Đáng chú ý, lệnh curl được sử dụng để lấy dữ liệu cho thấy những khác biệt rõ rệt so với các phiên bản trước đó," Xhaflaire giải thích. "Thay vì sử dụng tổ hợp -fsSL thường thấy, các cờ đã được tách thành -fL và -sS, và các tùy chọn bổ sung như --noproxy đã được giới thiệu."


"Những thay đổi này, cùng với việc sử dụng các biến được điền động, cho thấy một sự chuyển đổi có chủ đích trong cách thức lấy và xác thực dữ liệu, có thể nhằm mục đích cải thiện độ tin cậy hoặc tránh bị phát hiện."

Một cơ chế né tránh khác được sử dụng trong chiến dịch này là sử dụng tệp DMG có kích thước lớn bất thường, làm tăng dung lượng của nó lên 25,5 MB bằng cách nhúng các tài liệu PDF không liên quan.

Đoạn mã độc được mã hóa Base64, sau khi được phân tích cú pháp, tương ứng với MacSync, một phiên bản được đổi tên của Mac.c xuất hiện lần đầu vào tháng 4 năm 2025. Theo Moonlock Lab của MacPaw, MacSync được trang bị một tác nhân dựa trên Go đầy đủ tính năng, không chỉ đơn thuần là đánh cắp dữ liệu mà còn cho phép điều khiển từ xa.

Điều đáng chú ý là các phiên bản có chữ ký mã của các tệp DMG độc hại bắt chước Google Meet cũng đã được phát hiện trong các cuộc tấn công phát tán các phần mềm đánh cắp hệ điều hành macOS khác như Odyssey. Tuy nhiên, các tác nhân đe dọa vẫn tiếp tục dựa vào các ảnh đĩa không có chữ ký để phát tán DigitStealer cho đến tận tháng trước.

"Sự thay đổi trong phân phối này phản ánh một xu hướng rộng hơn trong toàn bộ lĩnh vực phần mềm độc hại macOS, trong đó những kẻ tấn công ngày càng cố gắng đưa phần mềm độc hại của chúng vào các tệp thực thi đã được ký và chứng thực, khiến chúng trông giống các ứng dụng hợp pháp hơn", Jamf cho biết.