Dùng Mac vẫn có thể mất sạch tiền điện tử, chuyên gia chỉ ra thủ đoạn cực tinh vi

Duy Linh
Duy Linh
Phản hồi: 0

Duy Linh

Writer
Duy Linh

Duy Linh Đã xác thực

Phần mềm đánh cắp thông tin mới nhắm vào người dùng macOS đang sử dụng một phương thức tấn công tinh vi hơn khi kết hợp cơ sở dữ liệu ví tiền điện tử bị đánh cắp với thông tin đăng nhập thu thập từ Apple Keychain, trình duyệt và Apple Notes để thực hiện các cuộc tấn công giải mã ngoại tuyến nhằm chiếm đoạt tài sản số.
1784263590331.png

Theo hệ thống giám sát an ninh MistEye, phần mềm độc hại này được thiết kế để thu thập dữ liệu trên diện rộng thay vì chỉ nhắm vào một mục tiêu cụ thể.

Malware thu thập dữ liệu từ nhiều nguồn trên macOS

Phần mềm độc hại thu thập nhiều loại dữ liệu quan trọng, bao gồm tệp Keychain của macOS, dữ liệu trình duyệt Safari và Chromium, phiên đăng nhập Telegram Desktop, Apple Notes cùng dữ liệu cục bộ của nhiều ví tiền điện tử như Electrum, Exodus, Atomic, Wasabi, Monero, Bitcoin Core, Ledger Live và Trezor Suite.

Điểm đáng lo ngại không nằm ở việc sao chép cơ sở dữ liệu ví, bởi phần lớn ứng dụng ví đều mã hóa dữ liệu nhạy cảm trên thiết bị. Tuy nhiên, malware còn thu thập những thông tin có thể dùng để mở khóa dữ liệu này, tạo thành một chuỗi tấn công ngoại tuyến hiệu quả. Sau khi có trong tay cơ sở dữ liệu ví cùng danh sách mật khẩu thu thập được, kẻ tấn công có thể liên tục thử giải mã mà không cần tương tác thêm với máy Mac của nạn nhân.

SlowMist đã tái hiện quy trình này bằng dữ liệu từ Atomic Wallet. Kho lưu trữ LevelDB của ví được bảo vệ bằng chuẩn mã hóa AES-256-CBC và yêu cầu mật khẩu người dùng để giải mã dữ liệu nhạy cảm. Trong môi trường thử nghiệm biệt lập, các nhà nghiên cứu đã khôi phục dữ liệu ví bị đánh cắp, sau đó sử dụng các mật khẩu thu được từ Apple Keychain, kho lưu trữ mật khẩu trình duyệt và Apple Notes để thử mở khóa.

Kết quả cho thấy một mật khẩu đã giải mã thành công dữ liệu chứa khả năng kiểm soát tài sản trong ví.

Phương thức này khắc phục hạn chế của việc đoán mật khẩu trực tuyến. Khi đã sở hữu cơ sở dữ liệu ví được mã hóa cùng tập hợp mật khẩu có khả năng đúng, kẻ tấn công có thể thực hiện việc giải mã theo tốc độ của riêng mình.

Ngay cả khi người dùng cài đặt lại ứng dụng ví hoặc thay đổi mật khẩu, tài sản vẫn không được bảo vệ nếu cụm từ khôi phục hoặc khóa riêng tư đã bị đánh cắp.

Malware còn hiển thị cửa sổ yêu cầu quyền quản trị giả mạo dưới tên bản cập nhật "Google API Connector" nhằm đánh cắp mật khẩu macOS. Sau khi người dùng nhập thông tin, phần mềm sử dụng tiện ích xác thực dscl của macOS để kiểm tra mật khẩu có hợp lệ hay không, giúp kẻ điều khiển phân biệt mật khẩu thật với những lần nhập sai.

Theo báo cáo SlowMist chia sẻ với GBHackers, malware còn tìm cách lấy bí mật Chrome Safe Storage từ Apple Keychain. Thông tin này có thể được sử dụng để giải mã tài khoản đăng nhập và cookie được lưu trong trình duyệt Chrome.

Chiếm quyền Telegram và thay thế ứng dụng ví bằng phiên bản giả mạo

Chiến dịch cũng nhắm tới Telegram Desktop bằng cách sao chép thư mục tdata, nơi chứa khóa mã hóa cục bộ và trạng thái phiên đăng nhập.
1784263669560.png

Phiên hoạt động (Nguồn: Slowmist).
Trong thử nghiệm của SlowMist, chỉ cần khôi phục các tệp này trên một máy Mac tương thích là phiên đăng nhập của nạn nhân được khôi phục ngay lập tức mà không cần số điện thoại, mã SMS hay mật khẩu xác thực hai yếu tố (2FA).

Đây không phải là phương thức vượt qua cơ chế xác thực 2FA của Telegram mà là hành vi tái sử dụng một phiên đăng nhập đã được cấp quyền trước đó, giúp kẻ tấn công bỏ qua hoàn toàn quy trình đăng nhập thông thường.

SlowMist cũng phát hiện dữ liệu đánh cắp từ thư mục tdata có thể được chuyển đổi thành các phiên API Telegram có thể lập trình, cho phép truy cập nội dung trò chuyện cũng như thao tác với tin nhắn.

Đối với người dùng Ledger Live và Trezor Suite, malware tạo thêm một kịch bản lừa đảo khác. Nó gỡ bỏ ứng dụng ví chính hãng rồi cài đặt các ứng dụng giả mạo có cùng tên và biểu tượng, khiến người dùng khó phát hiện.
1784263763169.png

Trang web lừa đảo ẩn sau biểu tượng trên màn hình máy tính (Nguồn: Slowmist).
Phân tích mã cho thấy các ứng dụng thay thế thực chất là trình tải WebView kết nối tới các trang web do kẻ tấn công kiểm soát thay vì phần mềm ví chính thức. Những trang web này có thể yêu cầu người dùng nhập cụm từ khôi phục, mã PIN hoặc mật khẩu dưới vỏ bọc của một ứng dụng máy tính đáng tin cậy.

Chiến dịch này cho thấy phần mềm đánh cắp thông tin hiện nay không chỉ thu thập dữ liệu mà còn khai thác mối liên kết giữa thông tin đăng nhập, kho dữ liệu được mã hóa, các phiên làm việc hợp lệ và niềm tin của người dùng.

Cơ sở dữ liệu ví bị đánh cắp có thể vẫn được mã hóa, nhưng khi kết hợp với dữ liệu từ Apple Keychain và các mật khẩu được tái sử dụng, chúng trở thành mục tiêu dễ bị tấn công bằng phương pháp giải mã ngoại tuyến.

Chỉ báo xâm nhập (IOCs)​

Địa chỉ IPURL
192.253.248.181hxxp://192.253.248.181/web/ledger.zip
192.253.248.181hxxp://192.253.248.181/web/ledgerwallet.zip
192.253.248.181hxxp://192.253.248.181/web/trezor.zip
86.54.25.213hxxp://86.54.25.213/ledger?username=night
86.54.25.213hxxp://86.54.25.213/trezor?username=night
86.54.25.213hxxp://86.54.25.213/log

Lưu ý: Các địa chỉ IP và URL đã được vô hiệu hóa (hxxp) nhằm tránh việc vô tình phân giải hoặc tạo liên kết. Chỉ nên khôi phục định dạng ban đầu trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly92bnJldmlldy52bi90aHJlYWRzL2R1bmctbWFjLXZhbi1jby10aGUtbWF0LXNhY2gtdGllbi1kaWVuLXR1LWNodXllbi1naWEtY2hpLXJhLXRodS1kb2FuLWN1Yy10aW5oLXZpLjg3NzkzLw==
Top