Biến thể MacSync Stealer mới trên macOS được phát hiện dưới dạng ứng dụng Swift đã “ký mã” và “notarized”, có khả năng đánh cắp dữ liệu nhạy cảm như mật khẩu, iCloud keychain và ví tiền điện tử.
Điểm đáng chú ý là chuỗi lây nhiễm được thiết kế “ít thao tác”, giảm nhu cầu dùng Terminal và khiến người dùng dễ tin tưởng hơn. Cảnh báo đến từ quan sát thực tế của Jamf Threat Labs và chia sẻ của 23pds (SlowMist) trên X.
- SlowMist cảnh báo biến thể MacSync có thể đã chiếm đoạt thông tin của nhiều người dùng và nhắm cả ví crypto.
- Mẫu mới được phân phối như ứng dụng Swift đã ký mã và notarized trong file .dmg, giảm dấu hiệu “đáng ngờ” với macOS.
- Người dùng nên ưu tiên nguồn tải đáng tin, cập nhật hệ điều hành và cảnh giác với file .dmg quảng cáo công cụ crypto/nhắn tin.
SlowMist cảnh báo thông tin người dùng đã bị đánh cắp
SlowMist cho biết có biến thể MacSync mới có thể vượt qua cơ chế Gatekeeper của macOS và đã chiếm đoạt thông tin của nhiều người dùng.
Trong bài đăng trên X, 23pds, Giám đốc An ninh Thông tin (CISO) của SlowMist, cảnh báo về một biến thể mới của MacSync có khả năng “bypass” hệ thống bảo vệ Gatekeeper trên macOS và đã ghi nhận tình trạng thông tin bị chiếm đoạt ở nhiều nạn nhân.
Theo mô tả, biến thể này sử dụng nhiều kỹ thuật né phát hiện như “file inflation” (phình kích thước tệp), xác minh kết nối mạng trước khi thực thi và cơ chế tự hủy (self-destruct script) sau khi chạy.
Dữ liệu nhạy cảm được nhắc đến gồm iCloud keychains, mật khẩu trình duyệt và ví tiền điện tử (crypto wallets), nhóm thông tin thường dẫn tới rủi ro chiếm đoạt tài khoản, tài sản crypto và truy cập trái phép các dịch vụ liên quan.
Cảnh báo của 23pds được gắn kèm nội dung phân tích từ Jamf Threat Labs, nhấn mạnh đây không phải lần đầu họ chạm mặt họ malware MacSync trong các cuộc điều tra mối đe dọa trên macOS.
Theo mô tả của Jamf Threat Labs, malware đánh cắp thông tin nhắm macOS này được cho là xuất hiện từ tháng 4/2025 với tên “Mac.C”, do một tác nhân đe dọa có biệt danh “Mentalpositive” phát triển, sau đó nhanh chóng được “đổi thương hiệu” thành MacSync và lan rộng trong giới tội phạm mạng.
Mẫu MacSync mới thay đổi chuỗi thực thi để khó bị phát hiện hơn
Biến thể mới được cho là vẫn tương đồng các mẫu cũ, nhưng đã “làm mới” thiết kế và chuyển sang cách phát tán ít cần tương tác như kéo-thả vào Terminal hay ClickFix.
Jamf Threat Labs cho biết họ quan sát thấy một stealer đã được ký và notarized nhưng không đi theo “execution chain” điển hình từng thấy trước đây. Trọng tâm là giảm các bước khiến người dùng nghi ngờ, đồng thời tăng khả năng vượt kiểm tra ban đầu của macOS.
Khác với các biến thể MacSync Stealer trước đó thường dựa vào thủ thuật drag-to-terminal hoặc ClickFix, mẫu mới được mô tả là dùng cách tiếp cận “đánh lừa, ít thao tác” hơn. Điều này có thể khiến người dùng nghĩ rằng ứng dụng hợp pháp vì không thúc ép thực hiện thao tác nguy hiểm trong Terminal.
Cách phát tán: ứng dụng Swift ký mã và notarized trong file .dmg
Mẫu được phân phối như ứng dụng Swift đã ký mã và notarized trong một disk image (.dmg), giúp giảm rào cản cảnh báo của macOS ở bước cài đặt.
Jamf Threat Labs mô tả mẫu được đóng gói dưới dạng ứng dụng Swift đã code-signed và notarized, nằm trong disk image tên “zk-call-messenger-installer-3.9.2-lts.dmg”, được phát tán qua trang tải về tại https://zkcall.net/download.
Cách làm này loại bỏ nhu cầu tương tác trực tiếp với Terminal. Thay vào đó, dropper sẽ lấy một script đã mã hóa từ máy chủ từ xa và thực thi thông qua một helper executable được xây bằng Swift.
Jamf Threat Labs cũng cho biết họ từng quan sát Odyssey infostealer áp dụng kiểu phân phối tương tự ở các biến thể gần đây, cho thấy xu hướng malware macOS ngày càng tận dụng các “tín hiệu hợp pháp” trong đóng gói/phân phối để qua mắt người dùng.
“Sau khi kiểm tra Mach-O binary (bản universal build), chúng tôi xác nhận nó vừa được code-signed vừa được notarized. Chữ ký gắn với Developer Team ID GNJLS3UYZ4.”
– Jamf Threat Labs, phân tích mẫu malware
Nhận diện kỹ thuật: kiểm tra revocation, dung lượng .dmg bất thường và mức phát hiện trên VirusTotal
Phân tích cho thấy mẫu có chữ ký hợp lệ tại thời điểm kiểm tra, kiểm tra hash với danh sách thu hồi của Apple chưa bị revoke, và disk image có dung lượng bất thường do tệp mồi.
Theo Jamf Threat Labs, họ đã đối chiếu các code directory hashes với danh sách thu hồi (revocation list) của Apple và tại thời điểm phân tích, chưa thấy bị thu hồi. Đây là yếu tố khiến malware có thể “trông hợp lệ” hơn trong mắt người dùng.
Một dấu hiệu khác là dung lượng disk image lớn bất thường, 25,5MB. Nhóm phân tích cho rằng kích thước này có thể bị “thổi phồng” nhờ các tệp đánh lạc hướng (decoy files) được nhúng bên trong app bundle.
Về phát hiện, một số mẫu tải lên VirusTotal tại thời điểm phân tích chỉ bị 1 engine antivirus phát hiện, trong khi các mẫu khác bị gắn cờ tới 13 engine. Sau khi xác nhận Developer Team ID bị dùng để phát tán payload độc hại, Jamf Threat Labs đã báo cáo cho Apple và chứng chỉ liên quan sau đó đã bị thu hồi.
Cách tự bảo vệ trước MacSync Stealer nhắm ví tiền điện tử trên macOS
Cách giảm rủi ro gồm chỉ tải ứng dụng từ nguồn tin cậy, cập nhật macOS, dùng công cụ bảo mật uy tín và cảnh giác file .dmg quảng bá công cụ crypto.
Để hạn chế rủi ro, hãy ưu tiên tải ứng dụng từ Mac App Store hoặc trang chính thức của nhà phát triển đáng tin cậy. Luôn cập nhật macOS và ứng dụng để nhận bản vá bảo mật mới.
Nên sử dụng giải pháp antivirus/endpoint security uy tín có khả năng phát hiện mối đe dọa trên macOS. Đồng thời, hãy thận trọng với các file .dmg hoặc trình cài đặt đến từ nguồn không rõ ràng, đặc biệt các gói tự quảng cáo là công cụ crypto hoặc ứng dụng nhắn tin “mới”.
Nếu bạn hoạt động trong crypto, hãy tăng lớp phòng thủ bằng cách tách ví: dùng ví cứng cho tài sản lớn, hạn chế lưu seed phrase trên máy, và kiểm tra quyền truy cập của các ứng dụng mới cài đặt trước khi đăng nhập các dịch vụ quan trọng.
Những câu hỏi thường gặp
MacSync Stealer là gì và nhắm tới dữ liệu nào?
MacSync là malware đánh cắp thông tin trên macOS, được mô tả có thể lấy iCloud keychains, mật khẩu trình duyệt và dữ liệu ví tiền điện tử, dẫn tới nguy cơ chiếm đoạt tài khoản và tài sản crypto.
Vì sao biến thể mới nguy hiểm hơn với người dùng macOS?
Mẫu mới được mô tả là ứng dụng Swift đã ký mã và notarized, đồng thời dùng chuỗi thực thi ít cần thao tác như Terminal, khiến nạn nhân dễ tin tưởng và khó nhận ra dấu hiệu lừa đảo hơn.
File .dmg “zk-call-messenger-installer-3.9.2-lts.dmg” liên quan gì?
Jamf Threat Labs cho biết mẫu được phân phối trong disk image có tên này và được phát tán qua trang tải về tại https://zkcall.net/download, nơi người dùng có thể vô tình tải và cài đặt nếu tin nhầm.
Làm sao giảm rủi ro bị đánh cắp ví tiền điện tử trên macOS?
Chỉ cài ứng dụng từ nguồn uy tín, cập nhật macOS, dùng công cụ bảo mật đáng tin cậy, tránh mở các file .dmg bất ngờ, và tách ví (ví cứng cho tài sản lớn, hạn chế lưu seed phrase trên máy).
Tôi có thể kiểm tra cảnh báo gốc của 23pds ở đâu?
Bạn có thể xem bài đăng trên X của 23pds tại liên kết: bài đăng của 23pds trên X.