Cảnh báo mã độc trên thiết bị Apple từ SlowMist
Một loại mã độc mới trên hệ điều hành macOS đang trở thành mối đe dọa nghiêm trọng đối với người dùng tiền điện tử khi có khả năng chiếm quyền tài khoản Telegram, đánh cắp mật khẩu và dữ liệu ví điện tử. Cảnh báo được đưa ra bởi công ty bảo mật blockchain SlowMist, cho biết phần mềm độc hại này được thiết kế để thu thập hàng loạt thông tin nhạy cảm nhằm phục vụ các cuộc tấn công chiếm đoạt tài sản số.
Theo SlowMist, mã độc hoạt động theo cơ chế của một phần mềm đánh cắp thông tin, nhắm vào nhiều dữ liệu quan trọng được lưu trữ trên máy Mac. Đáng chú ý, thay vì tìm cách vượt qua cơ chế xác thực hai lớp của Telegram, mã độc chỉ cần sao chép các tệp phiên đăng nhập của ứng dụng Telegram Desktop. Khi sở hữu những tệp này, kẻ tấn công có thể khôi phục phiên đăng nhập trên một thiết bị khác và truy cập toàn bộ nội dung cuộc trò chuyện, danh bạ cũng như các dữ liệu cá nhân mà không cần nhập mã xác minh.
Bên cạnh Telegram, mã độc còn tìm cách đánh cắp mật khẩu được lưu trong Apple Keychain, dữ liệu trình duyệt, ghi chú trong Apple Notes và cơ sở dữ liệu của nhiều ví tiền điện tử phổ biến. Đây đều là những nguồn thông tin có thể giúp tin tặc tiếp cận tài sản số hoặc các tài khoản trực tuyến của nạn nhân.
SlowMist cho biết phần mềm độc hại này nhắm tới ít nhất 16 ứng dụng ví tiền điện tử trên máy tính, bao gồm Ledger Live, Trezor Suite, Exodus, Atomic Wallet, Electrum và Sparrow Wallet. Ngoài ra, hơn 200 tiện ích mở rộng ví trên các trình duyệt sử dụng nền tảng Chromium cũng nằm trong danh sách mục tiêu.
Một trong những kịch bản nguy hiểm nhất là khi tin tặc đồng thời lấy được cơ sở dữ liệu của ví và mật khẩu được lưu trong Apple Keychain. Khi đó, chúng có thể tiến hành giải mã ví ở chế độ ngoại tuyến mà không cần tiếp tục tương tác với nạn nhân, qua đó giảm nguy cơ bị phát hiện trong quá trình tấn công.
Người dùng tiền số đối mặt nguy hiểm mới
Không dừng lại ở việc đánh cắp dữ liệu, SlowMist còn phát hiện mã độc có khả năng thay thế các ứng dụng ví hợp pháp bằng phiên bản giả mạo. Sau khi gỡ bỏ ứng dụng Ledger Live hoặc Trezor Suite trên máy của nạn nhân, mã độc sẽ cài đặt một giao diện gần như giống hệt bản chính thức. Khi người dùng mở ứng dụng, họ sẽ được yêu cầu nhập cụm từ khôi phục ví (seed phrase) với lý do xác minh hoặc khôi phục tài khoản. Chỉ cần người dùng nhập 12 hoặc 24 từ khóa khôi phục, toàn bộ quyền kiểm soát ví sẽ rơi vào tay kẻ tấn công.
Trước mối đe dọa này, SlowMist khuyến nghị người dùng Mac cần ngay lập tức thu hồi các phiên đăng nhập Telegram nếu nghi ngờ thiết bị bị xâm nhập, đồng thời thay đổi mật khẩu của các tài khoản quan trọng và Apple Keychain. Đối với người dùng tiền điện tử, nếu có dấu hiệu ví đã bị lộ dữ liệu, nên tạo một ví mới trên thiết bị an toàn và chuyển toàn bộ tài sản sang địa chỉ mới. Công ty cũng nhấn mạnh người dùng tuyệt đối không nhập seed phrase vào bất kỳ cửa sổ hoặc ứng dụng nào xuất hiện bất ngờ trên máy tính.
Theo SlowMist, điểm đáng lo ngại của chiến dịch này là việc kết hợp nhiều kỹ thuật tấn công trong cùng một phần mềm độc hại. Thay vì chỉ đánh cắp dữ liệu hoặc lừa đảo lấy seed phrase như các chiến dịch trước đây, mã độc mới có thể đồng thời chiếm quyền Telegram, thu thập mật khẩu hệ thống, đánh cắp dữ liệu ví tiền điện tử và sử dụng các ứng dụng giả mạo để hoàn tất quá trình chiếm đoạt tài sản số của nạn nhân.
