Cho tới nay nhiều người vẫn tin rằng hệ thống macOS miễn nhiễm với các phần mềm độc hại, tuy nhiên thực tế lại khác. Trong những năm gần đây, với sự xuất hiện của hàng loạt mã độc như Silve Sparrow, KeRanger và Atomic Stealer cùng nhiều loại khác cho thấy sức đề kháng của hệ điều hành này đang không còn vững như bàn thạch. Mối nguy cơ mới nhất được phát hiện là một phần mềm độc hại dưới dạng dịch vụ (MaaS) nhắm vào người dùng macOS có tên là “Cthulhu Stealer”.
Công ty an ninh mạng Cado Security mô tả cách thức hoạt động của phần mềm độc hại này: “Cthulhu Stealer là một hình ảnh đĩa Apple (bản sao được nén gồm các nội dung của đĩa hoặc thư mục, có đuôi .dmg) được đóng gói với hai tệp nhị phân, tùy thuộc vào kiến trúc. Phần mềm độc hại được viết bằng ngôn ngữ lập trình Golang và ngụy trang thành phần mềm hợp pháp. Sau khi người dùng gắn tệp .dmg, họ sẽ được nhắc mở phần mềm. Sau khi mở tệp, họ sẽ được nhắc nhở sử dụng công cụ dòng lệnh osascript của macOS để yêu cầu mật khẩu”.
Khi nhập mật khẩu, người dùng sẽ được nhắc nhập mật khẩu MetaMask (đây là một loại ví điện tử được tạo ra nhằm mục đích lưu trữ các đồng tiền điện tử phát triển trên nền tảng Ethereum một cách an toàn và tiện lợi). Phần mềm độc hại tiếp tục tạo một thư mục trong /Users/Shared/NW để lưu trữ thông tin đăng nhập trong các tệp văn bản.
Nó sử dụng Chainbreak để sao chép mật khẩu iCloud Keychain (hệ thống quản lý mật khẩu trong macOS, được phát triển bởi Apple), lưu trữ chúng trong Keychain.txt. Dữ liệu bị đánh cắp sau đó được lưu trữ trong một tệp zip và thông báo được gửi đến máy chủ chỉ huy và kiểm soát (C2) - nói cách khác là gửi đến những kẻ tấn công.
Người dùng phải thận trọng, vì phần mềm độc hại mới có thể ngụy trang thành các ứng dụng phần mềm như AdobeGenP, CleanMyMac và Grand Theft Auto IV, trong đó GenP là một công cụ mã nguồn mở vá các ứng dụng Adobe để bỏ qua dịch vụ Creative Cloud và kích hoạt chúng mà không cần khóa sê-ri.
Chức năng chính của nó là đánh cắp thông tin đăng nhập và ví tiền điện tử từ nhiều nguồn khác nhau, bao gồm cả tài khoản trò chơi. Phần mềm độc hại này còn kiểm tra các thư mục cài đặt trong Thư viện/Hỗ trợ ứng dụng/[kho lưu trữ tệp] và chuyển nội dung của chúng vào các tệp văn bản.
Phần mềm độc hại này nhắm vào nhiều loại dữ liệu, bao gồm cookie của trình duyệt, ví tiền điện tử (ví dụ: MetaMask, Coinbase, Wasabi), thông tin tài khoản trò chơi (ví dụ: BattleNet), mật khẩu Keychain và SafeStorage.
Người dùng có thể thực hiện các biện pháp phòng ngừa để đảm bảo an toàn, chẳng hạn như chỉ tải xuống phần mềm từ các nguồn đáng tin cậy và giữ cho máy Mac của họ chạy phiên bản mới nhất. Tải xuống một số phần mềm diệt vi-rút Mac hợp pháp cũng là một giải pháp cần cân nhắc để giữ an toàn cho thiết bị.
Apple nhận thức được sự gia tăng của phần mềm độc hại trên Mac và đã thực hiện những thay đổi bảo mật cần thiết, cho biết : "Trong macOS Sequoia, người dùng sẽ không còn có thể nhấn Control-click để ghi đè Gatekeeper khi mở phần mềm không được ký đúng cách hoặc không được công chứng". Bạn sẽ cần vào Cài đặt hệ thống > Quyền riêng tư & Bảo mật để phân tích thông tin bảo mật cho phần mềm trước khi sử dụng.
