Cảnh báo bảo mật: Microsoft tìm thấy biến thể malware macOS nguy hiểm

Microsoft vừa đưa ra cảnh báo về sự tái xuất của malware XCSSET, một mối đe dọa từng “ngủ đông” trên macOS, giờ đây đã hoạt động trở lại với biến thể mới, nhắm mục tiêu tất cả các loại thiết bị Apple.

Nhóm Microsoft Threat Intelligence đã chia sẻ thông tin về malware này trên nền tảng X, cho biết đây là phiên bản mới của XCSSET, xuất hiện lần đầu vào năm 2022. Các chuyên gia bảo mật giải thích rằng malware được cập nhật này có “các phương pháp che giấu nâng cao, cơ chế duy trì cập nhật và chiến lược lây nhiễm mới”.

Theo TechRadar, XCSSET về cơ bản là một phần mềm đánh cắp thông tin, có khả năng tấn công ví kỹ thuật số, thu thập dữ liệu từ ứng dụng Apple Notes và thu thập thông tin hệ thống và tệp.

Phương thức lây nhiễm tinh vi qua Xcode

Malware này đặc biệt nguy hiểm vì nó sử dụng các dự án bị nhiễm trong nền tảng Xcode của Apple để xâm nhập vào thiết bị. Xcode là môi trường phát triển tích hợp (IDE) chính thức mà Apple cung cấp để tạo ứng dụng cho các hệ điều hành khác nhau của mình, bao gồm macOS, iOS, iPadOS, watchOS và tvOS. Môi trường này bao gồm trình chỉnh sửa mã, trình gỡ lỗi, Interface Builder và các công cụ để kiểm tra và triển khai ứng dụng.

Biến thể XCSSET được cập nhật bao gồm các quy trình cho phép malware che giấu tốt hơn trong Xcode. Để làm như vậy, nó sử dụng hai kỹ thuật, được gọi là “zshrc” và “dock”. Cuộc tấn công đầu tiên cho phép malware tạo một tệp, ~/.zshrc_aliases, chứa dữ liệu bị nhiễm. Sau đó, nó thêm một lệnh trong tệp ~/.zshrc, lệnh này sẽ nhắc tệp bị nhiễm khởi chạy mỗi khi một phiên shell mới được bắt đầu. Điều này sẽ đảm bảo malware tiếp tục lây lan với các phiên shell bổ sung.

Với cuộc tấn công thứ hai, malware tải xuống “một công cụ dockutil được ký từ máy chủ lệnh và điều khiển để quản lý các mục dock”, Microsoft giải thích. Sau đó, nó tạo một ứng dụng Launchpad giả để thay thế mục nhập đường dẫn cho ứng dụng Launchpad thực tế trên dock thiết bị. Khi người dùng chạy Launchpad trên thiết bị bị nhiễm, ứng dụng Launchpad thực tế và phiên bản malware sẽ cùng thực thi, lây lan XCSSET một cách hiệu quả.

Cảnh báo và biện pháp phòng ngừa

Microsoft Threat Intelligence giải thích rằng họ chỉ thấy biến thể malware mới này “trong các cuộc tấn công hạn chế”, họ đang chia sẻ thông tin về mối đe dọa này để người dùng và tổ chức có thể thực hiện các biện pháp phòng ngừa.

Sự xuất hiện trở lại của XCSSET cho thấy các mối đe dọa mạng liên tục phát triển và nhắm mục tiêu đến cả hệ sinh thái Apple, vốn thường được xem là an toàn hơn. Người dùng cần nâng cao cảnh giác, cập nhật phần mềm thường xuyên và thận trọng khi tải xuống các dự án từ nguồn không đáng tin cậy. Các nhà phát triển cũng cần kiểm tra kỹ lưỡng các dự án Xcode của mình để đảm bảo chúng không bị nhiễm malware.