Phần mềm độc hại CrashStealer mới giả mạo báo cáo lỗi macOS để đánh cắp mật khẩu người dùng.

Một phần mềm độc hại nguy hiểm mới dành cho máy Mac có tên CrashStealer đang vượt qua Gatekeeper bằng cách giả mạo các báo cáo lỗi của Apple để đánh cắp mật khẩu và dữ liệu nhạy cảm của bạn. Tìm hiểu cách bảo vệ thiết bị của bạn.

A
Staff Writer
Đăng tải vào 16/07/2026 07:19
Phần mềm độc hại CrashStealer mới giả mạo báo cáo lỗi macOS để đánh cắp mật khẩu người dùng.

Một phần mềm độc hại mới tinh vi nhắm mục tiêu vào người dùng macOS, được đặt tên là 'CrashStealer', đã được các nhà nghiên cứu bảo mật xác định. Phần mềm độc hại này đặc biệt nguy hiểm vì nó giả mạo một cách chuyên nghiệp các công cụ báo cáo sự cố hệ thống của chính Apple, khiến người dùng không nghi ngờ rất dễ trở thành nạn nhân.

Cách thức hoạt động của CrashStealer

Theo phân tích từ công ty bảo mật Jamf, CrashStealer giả mạo là một ứng dụng hợp pháp, thường được ngụy trang dưới dạng một nền tảng họp trực tuyến có tên là 'Werkbit'. Sau khi người dùng bị lừa tải xuống phần mềm, nó sử dụng trình cài đặt đã được ký và chứng thực bởi Apple. Bằng cách tận dụng chữ ký trông có vẻ chính thức này, phần mềm độc hại đã vượt qua thành công macOS Gatekeeper, cơ chế bảo mật được thiết kế để ngăn chặn phần mềm trái phép hoặc độc hại chạy trên hệ điều hành.

Cấu trúc của cuộc tấn công

Khi khởi chạy, ứng dụng hiển thị một lời nhắc hệ thống giả mạo yêu cầu mật khẩu của người dùng - một cảnh tượng thường thấy đối với các cài đặt phần mềm hợp pháp.

Khi nạn nhân đồng ý và nhập thông tin đăng nhập, phần mềm độc hại sẽ có được quyền truy cập cần thiết vào Keychain của macOS. Kho lưu trữ được mã hóa này chứa dữ liệu cực kỳ nhạy cảm, bao gồm:
  • Thông tin đăng nhập Safari
  • Mật khẩu ứng dụng
  • Khóa mạng Wi-Fi

Ngoài Keychain, phần mềm độc hại còn có khả năng thu thập cookie và thông tin đăng nhập từ các trình duyệt như Chrome, Firefox và các trình duyệt thay thế dựa trên Chromium khác. Nó cũng nhắm mục tiêu vào dữ liệu từ khoảng 80 tiện ích mở rộng ví tiền điện tử khác nhau và nhiều ứng dụng quản lý mật khẩu phổ biến, chẳng hạn như 1Password và LastPass.

Trích xuất dữ liệu

Sau khi thu thập được thông tin nhạy cảm, CrashStealer mã hóa dữ liệu bị đánh cắp, nén chúng thành các tệp ZIP ẩn và tải các gói lên máy chủ điều khiển từ xa (C&C) do kẻ tấn công vận hành.

Cách bảo vệ máy Mac của bạn

Để chống lại mối đe dọa này và các mối đe dọa tương tự, người dùng nên tuân theo các biện pháp bảo mật tốt nhất sau:

  1. Tránh cài đặt phần mềm từ nguồn không chính thống: Chỉ cài đặt phần mềm từ Mac App Store hoặc trực tiếp từ các trang web của nhà phát triển đáng tin cậy, đã được xác minh.
  2. Cẩn thận với các lời nhắc: Hãy hết sức cảnh giác với các lời nhắc mật khẩu hệ thống bất ngờ, đặc biệt là những lời nhắc xuất hiện sau khi cài đặt một ứng dụng mới.
  3. Sử dụng thêm biện pháp bảo mật: Mặc dù Gatekeeper là tuyến phòng thủ đầu tiên mạnh mẽ, nhưng nó không phải là bất khả xâm phạm. Sử dụng phần mềm chống virus của bên thứ ba uy tín cho macOS có thể cung cấp một lớp bảo vệ thứ hai thiết yếu.
  4. Hãy cảnh giác: Luôn xác minh tính xác thực của bất kỳ phần mềm hoặc trình cài đặt nào, đặc biệt nếu nó được tải xuống từ nguồn không chính thức hoặc liên kết không được yêu cầu.

Bài viết liên quan