Malware Reaper là một biến thể mới của họ SHub infostealer trên macOS, được ghi nhận với chuỗi lây nhiễm nhiều lớp nhằm duy trì quyền truy cập bền vững trên máy bị nhiễm. Đây là một ví dụ điển hình của tin tức bảo mật liên quan đến kỹ thuật giả mạo thương hiệu trong tấn công mạng.
Kỹ thuật ngụy trang của Reaper trên macOS
Reaper ẩn mình bằng cách mượn danh tính của các thương hiệu quen thuộc để làm giảm khả năng bị phát hiện. Trong một chuỗi tấn công, nạn nhân có thể gặp trình cài đặt giả mạo cho các ứng dụng như WeChat hoặc Miro, được phân phối qua một miền typo-squatted mô phỏng hạ tầng của Microsoft.
Sau khi người dùng chạy trình cài đặt giả, payload được thực thi dưới vỏ bọc một bản cập nhật bảo mật của Apple. Thành phần duy trì tồn tại được đặt trong thư mục giả lập hệ thống cập nhật của Google. Ba thương hiệu công nghệ lớn bị khai thác trong cùng một chuỗi xâm nhập mạng.
Chuỗi thực thi bằng AppleScript và Script Editor
Nhóm nghiên cứu của SentinelOne đã phân tích biến thể này và xác định đây là sự tiếp nối của họ mã độc SHub, vốn đã tăng trưởng đáng kể trong hai năm gần đây. Báo cáo cho biết chiến dịch sử dụng trình cài đặt giả mạo WeChat và Miro làm mồi nhử, đồng thời thay đổi lớp ngụy trang ở từng giai đoạn.
Reaper không đi theo mô hình ClickFix thông thường. Thay vào đó, nó dùng AppleScript để phát tán shell script ban đầu. Cách này giúp vượt qua cơ chế phát hiện tiêu chuẩn, đặc biệt khi thực thi thông qua Script Editor thay vì Terminal.
Chuỗi lệnh độc hại được dựng động và chèn thêm chuỗi mã hóa base64, khiến phần nội dung thực sự bị che khuất bên dưới vùng hiển thị của cửa sổ Script Editor. Điều này làm giảm khả năng người dùng nhận ra hành vi đáng ngờ trước khi chạy lệnh.
Kiểm tra môi trường và cơ chế né tránh
Reaper kiểm tra cấu hình cục bộ bằng cách truy vấn tệp com.apple.HIToolbox.plist để phát hiện nguồn nhập liệu tiếng Nga. Nếu hệ thống có dấu hiệu thuộc khu vực CIS, mã độc sẽ gửi sự kiện cis_blocked về máy chủ điều khiển rồi thoát.
Nếu không bị chặn, nó tải một AppleScript thứ hai chứa logic trích xuất dữ liệu chính và chạy trực tiếp trong bộ nhớ thông qua osascript. Cách thực thi này giúp tránh ghi dấu vết rõ ràng lên đĩa cứng trong giai đoạn ban đầu.
Cơ chế persistence bằng LaunchAgent giả mạo Google
Để duy trì quyền truy cập, Reaper tạo cấu trúc thư mục mô phỏng dịch vụ cập nhật hợp lệ Google Keystone. Nó thả một bash script đã giải mã base64 với tên GoogleUpdate vào đường dẫn:
~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/Sau đó, mã độc đăng ký một LaunchAgent với tệp property list tên com.google.keystone.agent.plist. Cơ chế này khiến script tự động chạy lặng lẽ mỗi 60 giây trong nền.
Mỗi khi LaunchAgent kích hoạt, script gửi thông tin hệ thống tới endpoint /api/bot/heartbeat của kẻ điều khiển. Nếu máy chủ trả về payload code, script sẽ giải mã, ghi vào /tmp/.c.sh, thực thi bằng quyền của người dùng hiện tại, rồi xóa tệp ngay sau đó.
Điều này tạo ra một kênh thực thi từ xa liên tục và ít để lại dấu vết trên máy bị xâm nhập. Đây là điểm đáng chú ý trong các đợt lỗ hổng CVE hoặc chiến dịch xâm nhập trái phép nói chung, dù trường hợp này không gắn với CVE cụ thể.
Hành vi đánh cắp dữ liệu và FileGrabber
Reaper có một module FileGrabber quét các thư mục Desktop và Documents để tìm tệp có giá trị kinh doanh hoặc tài chính. Mục tiêu bao gồm các định dạng sau:
- .docx
- .wallet
- .key
- .json
- .rdp
Mã độc cũng thu thập ảnh dưới 1MB và tài liệu dưới 5MB, đồng thời giới hạn tổng dữ liệu thu thập ở mức 100MB. Các tệp được tập kết tại /tmp/shub_random/, sau đó chia thành các khối 10MB và tải lên máy chủ qua curl.
Hành vi này cho thấy mục tiêu của Reaper không chỉ là duy trì truy cập mà còn là đánh cắp dữ liệu có chọn lọc từ máy nạn nhân.
Thu thập thông tin ứng dụng và dữ liệu nhạy cảm
Biến thể này còn nhắm vào các ứng dụng desktop liên quan đến tiền mã hóa như Exodus, Atomic, Ledger Live và Trezor Suite. Đồng thời, nó thu thập thông tin đăng nhập trình duyệt và phím gõ của nhà phát triển, làm tăng rủi ro bảo mật đối với môi trường làm việc có dữ liệu nhạy cảm.
Ở lớp phân tích hành vi, Reaper ghi đè các hàm console và chạy vòng lặp debugger liên tục để cản trở điều tra. Nếu người nghiên cứu mở DevTools, nội dung trang sẽ bị thay bằng thông báo từ chối truy cập bằng tiếng Nga.
IOC và dấu hiệu cần giám sát
Các IOC được mô tả trong mẫu hoạt động của malware Reaper cần được chuẩn hóa và tái nhập cẩn thận trong hệ thống threat intelligence. Một số chỉ dấu kỹ thuật đáng theo dõi gồm:
- com.google.keystone.agent.plist trong thư mục LaunchAgents.
- GoogleUpdate nằm tại ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/.
- Gọi tới endpoint /api/bot/heartbeat.
- Tệp tạm /tmp/.c.sh và /tmp/shub_random/.
- Hành vi AppleScript bất thường sau khi chạy Script Editor.
Lưu ý: Địa chỉ IP và tên miền trong nguồn gốc đã được làm mờ, vì vậy cần tái kích hoạt chỉ trong nền tảng giám sát như MISP, VirusTotal hoặc SIEM. Tham khảo thêm tài liệu về LaunchAgents của Apple tại Apple Developer Documentation.
Khuyến nghị giám sát và phát hiện xâm nhập
Để phát hiện xâm nhập, cần theo dõi các hành vi bất thường liên quan đến AppleScript, Script Editor và LaunchAgent mới xuất hiện trong các namespace mô phỏng nhà cung cấp phần mềm tin cậy. Đây là các điểm quan trọng trong quy trình phát hiện tấn công trên macOS.
Các dấu hiệu cần chú ý gồm kết nối outbound không rõ nguồn gốc ngay sau khi Script Editor chạy, các tệp plist mới được tạo, và tiến trình bash được khởi chạy từ thư mục giả mạo của Google. Với nhóm hệ thống có yêu cầu an toàn thông tin cao, nên bổ sung kiểm tra định kỳ các thư mục người dùng và danh sách LaunchAgents.
Người dùng cần tránh thực thi script từ các trang web yêu cầu cập nhật bảo mật thủ công. Apple không yêu cầu mở Script Editor để chạy lệnh cập nhật. Chỉ tải phần mềm từ trang chính thức của nhà phát triển hoặc từ Mac App Store để giảm nguy cơ bảo mật từ các chiến dịch giả mạo.
