Mosyle, một công ty bảo mật và quản lý thiết bị Apple nổi tiếng, đã chia sẻ thông tin độc quyền với 9to5Mac về một chiến dịch phần mềm độc hại macOS chưa từng được biết đến. Dù việc khai thác tiền điện tử trên macOS không phải là điều mới lạ, nhưng đây dường như là mẫu phần mềm độc hại Mac đầu tiên được phát hiện có chứa mã từ các mô hình trí tuệ nhân tạo (AI) tổng hợp. Điều này chính thức xác nhận xu hướng tất yếu trong tương lai.
Theo nhóm nghiên cứu bảo mật của Mosyle, tại thời điểm phát hiện, mối đe dọa này không bị phát hiện bởi bất kỳ công cụ chống virus nào. Chiến dịch, được Mosyle đặt tên là SimpleStealth, đang lan truyền thông qua một trang web giả mạo tinh vi, mạo danh ứng dụng AI phổ biến Grok. Những kẻ tấn công sử dụng một tên miền gần giống để lừa người dùng tải xuống một trình cài đặt macOS độc hại.
Khi được khởi chạy, nạn nhân sẽ thấy một ứng dụng Grok hoạt động đầy đủ, giống hệt bản gốc. Đây là một kỹ thuật phổ biến để giữ cho ứng dụng ở vị trí nổi bật trong khi các hoạt động độc hại diễn ra trong nền, cho phép phần mềm độc hại hoạt động lâu hơn mà không bị chú ý. SimpleStealth được thiết kế để vượt qua các biện pháp bảo mật của macOS trong lần thực thi đầu tiên. Ứng dụng này yêu cầu người dùng nhập mật khẩu hệ thống dưới vỏ bọc hoàn thành một tác vụ thiết lập đơn giản. Điều này cho phép phần mềm độc hại loại bỏ các biện pháp bảo vệ cách ly của Apple và chuẩn bị cho tải trọng thực tế của nó.
Tuy nhiên, phía sau hậu trường, phần mềm độc hại triển khai trình khai thác tiền điện tử Monero (XMR) bí mật, quảng cáo về việc “thanh toán nhanh hơn” và “không thể theo dõi”. Để ẩn mình, hoạt động khai thác chỉ bắt đầu khi Mac không hoạt động trong ít nhất một phút và dừng ngay lập tức khi người dùng di chuyển chuột hoặc gõ phím. Trình khai thác còn ngụy trang bằng cách bắt chước các tiến trình hệ thống phổ biến như kernel_task và launchd, khiến người dùng khó phát hiện hành vi bất thường hơn.
Theo 9to5Mac, việc sử dụng AI được tìm thấy trong toàn bộ mã của phần mềm độc hại, với các nhận xét dài dòng bất thường, sự kết hợp giữa tiếng Anh và tiếng Bồ Đào Nha Brazil, và các mẫu logic lặp đi lặp lại, đặc trưng của các tập lệnh do AI tạo ra. Tình hình này đáng báo động vì AI đang hạ thấp rào cản xâm nhập cho những kẻ tấn công nhanh hơn nhiều so với những lo ngại về “phần mềm độc hại dưới dạng dịch vụ”.
Để bảo vệ mình, người dùng nên tránh tải xuống bất cứ thứ gì từ các trang web của bên thứ ba. Luôn tải ứng dụng trực tiếp từ Mac App Store hoặc trực tiếp từ các trang web của nhà phát triển đáng tin cậy.
Theo nguồn tin từ 9to5Mac.
