2025-12-23 07:30:21

Gần đây, cộng đồng an toàn đã chia sẻ một cảnh báo quan trọng: phần mềm độc hại MacSync Stealer hoạt động trên nền tảng macOS đã hoàn thành một lần nâng cấp kỹ thuật khá kín đáo.

Từ những phương pháp "kéo thả vào thiết bị" và "ClickFix" ở giai đoạn đầu, lần này đã tiến hóa thành ứng dụng Swift với chữ ký mã và được công nhận bởi Apple (notarized) một cách chính thức. Nó trông giống như một phần mềm chính hãng, vì nó đã nhận được "độ tin cậy" cao hơn dưới sự bảo vệ của hệ thống Apple - đây mới chính là điều nguy hiểm nhất.

Thậm chí, cách lây lan của phần mềm độc hại cũng trở nên thông minh hơn. Phần mềm độc hại đã hóa thân thành tệp zk-call-messenger-installer-3.9.2-lts.dmg để lan truyền, ngụy trang thành công cụ nhắn tin tức thì để thu hút bạn tải về. Hơn nữa, phiên bản mới đặc biệt xảo quyệt - hoàn toàn không cần người dùng gõ lệnh trong terminal, tất cả công việc bẩn đều được thực hiện bởi chương trình hỗ trợ Swift tích hợp sẵn, trực tiếp kéo tập lệnh từ máy chủ từ xa để thực hiện, hoàn thành việc đánh cắp dữ liệu.

Các nhà nghiên cứu an ninh chỉ ra rằng ID nhóm phát triển của mẫu này là GNJLS3UYZ4, và hàm băm liên quan vẫn chưa bị Apple thu hồi. Điều này có nghĩa là dưới cơ chế an ninh mặc định của macOS, nó có thể dễ dàng vượt qua sự cảnh giác của hầu hết người dùng. Mẫu này còn đặc biệt sử dụng chiêu trò - tệp DMG có kích thước bất thường lớn, bên trong chứa đầy các tệp PDF liên quan đến LibreOffice làm lớp ngụy trang.

Đã có người dùng mất tài sản vì điều này. Người dùng macOS vẫn nên cẩn thận, hãy suy nghĩ thêm một giây khi tải ứng dụng.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

11 thích

Phần thưởng
11
5
Đăng lại
Retweed

Bình luận

0/400

TheMemefather

· 2025-12-25 23:43

苹果公证都能骗过？这帮黑客的技术栈真的越来越离谱了 --- mac用户又要遭殃，这次还伪装成即时通讯工具，谁能想到啊 --- 直接从服务器拉脚本执行，根本不用敲终端命令了，这才是真正的恐怖 --- dmg文件里塞liboffice当掩护，这障眼法有点东西 --- 吊销都没吊销，苹果的审核能力真是堪忧啊 --- 资产都丢了才来预警，有点晚吧各位 --- 看起来正规软件的恶意软件才最狠，谁敢点啊 --- 这团队ID都被扒出来了，还在活跃？离谱 --- mac真的是越来越成为黑客的游乐场了

Trả lời0

FadCatcher

· 2025-12-24 15:44

Lại là chiêu trò này, chứng thực của Apple cũng có thể bị qua mặt sao? Vậy tài sản của tôi còn an toàn không

Xem bản gốcTrả lời0

ChainSherlockGirl

· 2025-12-23 07:57

Theo phân tích của tôi, món này giờ đúng là dám chơi - trực tiếp lấy chứng thực của Apple để làm ra vẻ nghiêm túc, điều này còn khốc liệt hơn cả lừa đảo không quần áo. Chú ý đến đám đông ăn dưa, Ví tiền không chỉ có rủi ro trên chuỗi, bạn cũng phải đề phòng Mac của mình, đặc biệt là những ứng dụng trông có vẻ "chính thống", thường mới là thứ lừa đảo nhất. Hãy ghi nhớ team ID GNJLS3UYZ4, cảnh báo rủi ro: trước khi tải về hãy tìm kiếm một chút, đừng chỉ vì muốn nhanh.

Xem bản gốcTrả lời0

not_your_keys

· 2025-12-23 07:50

Chữ ký của Apple giờ đã không an toàn, ai mà chống đỡ nổi chứ --- Lại là một bộ phận mềm độc hại giả dạng thành phần mềm truyền thông, chiêu cũ nhưng thật sự ác liệt --- Phần mềm độc hại viết bằng Swift? Trình độ kỹ thuật đã tăng lên rồi --- Tập tin dmg được nhét vào LibreOffice làm vỏ bọc? Logic này thật sự quá kỳ quặc --- Bị mất tài sản thật sự không chịu nổi, vẫn phải tự mở rộng tầm nhìn --- Việc chữ ký mã bị vượt qua chứng tỏ điều gì, mức độ bảo vệ của Apple cũng chỉ có vậy thôi --- Tên tập tin zk-call thật sự quá cẩu thả, ai mà thật sự tin đây là công cụ truyền thông --- Mã đội GNJLS3UYZ4 chắc chắn phải bị tiêu diệt, sao còn tự do như vậy --- Thực thi kịch bản trực tiếp từ máy chủ, đã làm cho bạn một chuỗi rồi đấy

Xem bản gốcTrả lời0

LayerZeroJunkie

· 2025-12-23 07:41

Người dùng Mac lại phải khổ sở, lần này ngay cả chứng nhận của Apple cũng có thể bị lừa, thật là hết chỗ nói.

Xem bản gốcTrả lời0