CrashStealer lợi dụng ứng dụng được Apple chứng thực để vượt qua Gatekeeper trên macOS

Nguyễn Tiến Đạt
Nguyễn Tiến Đạt
Phản hồi: 0
Các nhà nghiên cứu của Jamf Threat Labs vừa phát hiện CrashStealer, một mã độc đánh cắp thông tin mới trên macOS có khả năng vượt qua cơ chế bảo mật Gatekeeper nhờ được phát tán thông qua ứng dụng đã được Apple ký số và chứng thực (notarized).
1783992984338.png

Sau khi người dùng mở ứng dụng, CrashStealer sẽ tải thêm các thành phần độc hại, xác thực mật khẩu đăng nhập ngay trên thiết bị để mở khóa Keychain, sau đó thu thập dữ liệu từ trình duyệt, ví tiền điện tử, trình quản lý mật khẩu và các tệp trong thư mục Documents, Downloads.

Theo Jamf, mã độc còn sử dụng nhiều kỹ thuật chống phân tích như mã hóa chuỗi, chống gỡ lỗi và mã hóa dữ liệu bằng AES-GCM trước khi gửi về máy chủ của kẻ tấn công, khiến việc phát hiện trở nên khó khăn hơn.

Vụ việc cho thấy ngay cả các ứng dụng đã được Apple chứng thực cũng có thể bị lợi dụng để phát tán mã độc. Người dùng macOS được khuyến cáo chỉ cài đặt phần mềm từ nguồn uy tín, cập nhật hệ điều hành thường xuyên và sử dụng các giải pháp bảo mật để giảm nguy cơ bị tấn công.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly92bnJldmlldy52bi90aHJlYWRzL2NyYXNoc3RlYWxlci1sb2ktZHVuZy11bmctZHVuZy1kdW9jLWFwcGxlLWNodW5nLXRodWMtZGUtdnVvdC1xdWEtZ2F0ZWtlZXBlci10cmVuLW1hY29zLjg3NDQ5Lw==
Top