Cảnh báo macOS: phần mềm đánh cắp MacSync lợi dụng notarization để xâm nhập hệ thống

[Nguyễn Tiến Đạt]

Các nhà nghiên cứu an ninh mạng vừa phát hiện một biến thể mới của phần mềm đánh cắp thông tin trên macOS có tên MacSync, sử dụng một phương thức phân phối tinh vi hơn đáng kể: ngụy trang dưới dạng ứng dụng Swift đã được ký và chứng thực hợp lệ, từ đó vượt qua các lớp kiểm soát bảo mật của Apple như Gatekeeper và XProtect.

Theo nhà nghiên cứu Thijs Xhaflaire của Jamf, khác với các biến thể MacSync trước đây vốn dựa nhiều vào thủ thuật kéo-thả vào Terminal hoặc ClickFix, phiên bản mới này giảm thiểu tương tác người dùng và trông giống một trình cài đặt hợp pháp ngay từ đầu.

Ngụy trang ứng dụng hợp pháp để vượt kiểm duyệt của Apple​

Jamf cho biết mẫu phần mềm độc hại mới được phân phối dưới dạng ứng dụng Swift đã được ký mã và notarize, đóng gói trong file DMG có tên “zk-call-messenger-installer-3.9.2-lts.dmg”, được lưu trữ trên trang zkcall[.]net/download. Ứng dụng này giả dạng trình cài đặt của một phần mềm nhắn tin, khiến người dùng dễ dàng tin tưởng.

Việc được ký và chứng thực hợp lệ cho phép ứng dụng chạy mà không bị Gatekeeper hoặc XProtect chặn hay cảnh báo. Tuy nhiên, trình cài đặt vẫn hiển thị hướng dẫn yêu cầu người dùng nhấp chuột phải → Open, một mẹo quen thuộc để vượt qua các cơ chế bảo vệ bổ sung của macOS. Apple sau đó đã thu hồi chứng chỉ ký mã liên quan.

Sau khi chạy, trình tải xuống viết bằng Swift sẽ thực hiện một chuỗi kiểm tra trước khi tải và thực thi payload được mã hóa thông qua một thành phần phụ trợ. Các bước này bao gồm:

• Kiểm tra kết nối Internet
• Đảm bảo thời gian thực thi tối thiểu khoảng 3.600 giây nhằm giới hạn tốc độ phân tích
• Gỡ bỏ thuộc tính cách ly (quarantine attributes)
• Xác thực tệp trước khi thực thi

Đáng chú ý, cách sử dụng lệnh curl trong biến thể này đã thay đổi so với các phiên bản trước. Thay vì dùng tổ hợp cờ phổ biến -fsSL, mã độc tách thành -fL và -sS, đồng thời bổ sung tùy chọn --noproxy. Theo Jamf, các thay đổi này cùng với việc sử dụng biến động (dynamic variables) cho thấy kẻ tấn công đang chủ động điều chỉnh kỹ thuật tải dữ liệu để tăng độ ổn định hoặc né phát hiện.

Mã hóa payload và xu hướng malware macOS ngày càng “hợp pháp hóa”​

Một kỹ thuật né tránh khác là việc sử dụng file DMG có kích thước bất thường, được “bơm” lên khoảng 25,5 MB bằng cách chèn các tài liệu PDF không liên quan, nhằm đánh lạc hướng các công cụ phân tích tự động.

Payload độc hại được mã hóa Base64 và sau khi giải mã cho thấy đây chính là MacSync, một phiên bản đổi tên của Mac.c – dòng malware xuất hiện lần đầu vào tháng 4/2025. Theo Moonlock Lab (MacPaw), MacSync không chỉ đơn thuần là stealer mà còn tích hợp tác nhân viết bằng Go, cho phép điều khiển từ xa hệ thống bị nhiễm.

Jamf cũng lưu ý rằng các file DMG độc hại được ký mã và giả mạo Google Meet đã từng được sử dụng trong các chiến dịch phát tán malware macOS khác như Odyssey. Trong khi đó, một số dòng khác như DigitStealer vẫn chủ yếu dựa vào DMG không ký cho tới tận tháng trước.

Theo Jamf, đây không phải là hiện tượng đơn lẻ mà phản ánh xu hướng chung của hệ sinh thái phần mềm độc hại macOS:

Kẻ tấn công ngày càng cố gắng phân phối malware thông qua các ứng dụng đã được ký và chứng thực, khiến chúng trông giống ứng dụng hợp pháp và khó bị phát hiện hơn. (thehackernews)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview