Một biến thể nguy hiểm mới của mã độc đánh cắp thông tin SHub Stealer đã xuất hiện, được đặt tên là Reaper. Biến thể này nhắm mục tiêu vào người dùng Mac với các phương thức tinh vi và khó phát hiện hơn trước đây. Khả năng phát tán và chiếm đoạt dữ liệu của nó đại diện cho một mối đe dọa mạng đáng kể.
Bản cập nhật này lây lan thông qua các trang web giả mạo phần mềm phổ biến, dụ dỗ người dùng không nghi ngờ rơi vào bẫy. Ngay khi xâm nhập vào hệ thống, mã độc Reaper có thể âm thầm đánh cắp mọi thứ, từ thông tin đăng nhập trình duyệt đến ví tiền điện tử, trước khi nạn nhân kịp nhận ra điều gì bất thường.
Mã độc Reaper: Cơ chế Tấn công và Lây nhiễm Tự động
Điều đáng lo ngại của phiên bản Reaper này là phương pháp tấn công được sử dụng để xâm nhập vào máy Mac. Thay vì dựa vào thủ thuật cũ yêu cầu người dùng sao chép và dán một script vào Terminal, Reaper tự động hóa hoàn toàn quy trình này.
Nó sử dụng một trang web giả mạo để âm thầm mở Script Editor của Mac, đã được tải trước mã độc hại. Người dùng chỉ cần nhấp vào một nút để vô tình kích hoạt quá trình lây nhiễm. Kỹ thuật này được gọi là ClickFix automation, đánh dấu một sự leo thang về độ tinh vi của các cuộc tấn công nhắm vào macOS.
Kỹ thuật ClickFix Automation trong Chiến dịch SHub Reaper
Các nhà nghiên cứu tại Moonlock đã xác định và báo cáo về chiến dịch SHub Reaper mới này. Họ lưu ý rằng đây là lần thứ ba trong vòng chưa đầy hai tháng kỹ thuật ClickFix automation này xuất hiện trong các chiến dịch mã độc macOS riêng biệt.
Theo báo cáo của Moonlock chia sẻ với Cyber Security News, xu hướng tự động hóa ClickFix đang tăng tốc giữa các tác nhân đe dọa macOS. Những tác nhân này thường sao chép các chiến thuật đã được chứng minh hiệu quả từ nhau. Điều này cho thấy sự phát triển liên tục trong các kỹ thuật tấn công mạng.
Để biết thêm chi tiết về kỹ thuật này, bạn có thể tham khảo báo cáo của Moonlock tại: Moonlock Report: Mac Stealer SHub Reaper.
Chiến thuật Che giấu và Giả mạo Tinh vi của Mã độc
Chiến dịch của mã độc Reaper cũng rất nỗ lực để tạo ra vẻ ngoài đáng tin cậy. Các đối tượng tấn công giả mạo các thương hiệu nổi tiếng và lưu trữ payload mã độc trên các tên miền gần như giống hệt với các tên miền hợp pháp. Điều này làm giảm đáng kể cảnh giác của người dùng, tạo điều kiện thuận lợi cho xâm nhập mạng.
Chúng ngụy trang các tệp tải xuống mã độc dưới dạng các bản cập nhật bảo mật của Apple. Đồng thời, chúng sử dụng các đường dẫn cập nhật phần mềm Google giả mạo để cài đặt các backdoor dai dẳng sâu bên trong máy Mac của nạn nhân. Mục tiêu là duy trì quyền truy cập lâu dài và thực hiện đánh cắp dữ liệu.
Mức độ lừa đảo này là điều khiến SHub Reaper nổi bật ngay cả giữa các mã độc đánh cắp thông tin Mac khác. Bằng cách hòa mình vào giao diện quen thuộc của các công cụ và thương hiệu phần mềm đáng tin cậy, mã độc Reaper làm giảm đáng kể sự cảnh giác của người dùng.
Kết quả là một cuộc tấn công lén lút, đa giai đoạn, kết thúc bằng rò rỉ dữ liệu bị đánh cắp, ví tiền điện tử bị rút cạn. Hơn nữa, một backdoor do kẻ tấn công kiểm soát sẽ chạy âm thầm trong nền, đảm bảo khả năng chiếm quyền điều khiển hệ thống sau này.
Khả năng Đánh cắp Dữ liệu của Reaper
Bản dựng Reaper là một nâng cấp đáng kể so với các phiên bản trước của SHub Stealer. Các bản dựng trước đó đã có thể đánh cắp dữ liệu trình duyệt, thông tin macOS Keychains, dữ liệu tài khoản iCloud và thông tin phiên Telegram.
Phiên bản mới tiến xa hơn nhiều, hiện nhắm mục tiêu vào các trình duyệt Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc và Orion, cùng với các tiện ích mở rộng của chúng. Phạm vi ảnh hưởng rộng lớn này làm tăng rủi ro bảo mật cho người dùng Mac.
Mục tiêu Tiền điện tử và Tệp nhạy cảm
Điểm khác biệt thực sự của Reaper là cách nó xử lý tiền điện tử. Thay vì cài đặt một ứng dụng ví giả mạo, Reaper đào sâu vào mã của các ứng dụng ví desktop hợp pháp đã có trên Mac và âm thầm sửa đổi chúng để đánh cắp tiền. Điều này làm cho việc phát hiện xâm nhập trở nên khó khăn hơn.
Các ví bị nhắm mục tiêu bao gồm Exodus, Atomic, Ledger Live, Electrum và Trezor Suite. Mã độc Reaper cũng mang theo một Filegrabber kiểu AMOS, săn lùng các thư mục Desktop và Documents để tìm các tệp có giá trị, bao gồm các định dạng .docx, .wallet, .key, .csv, .xls và .json.
Exfiltration Dữ liệu và Duy trì Truy cập
Sau khi thu thập tất cả dữ liệu, mã độc Reaper gói dữ liệu bị đánh cắp và âm thầm gửi nó đến một máy chủ do kẻ tấn công kiểm soát bằng cách sử dụng lệnh curl, một lệnh hợp pháp của macOS. Việc sử dụng các công cụ hệ thống hợp pháp giúp mã độc khó bị phát hiện tấn công.
Trước khi thoát, nó cài đặt một backdoor được ngụy trang, đăng ký bản thân như một dịch vụ cập nhật của Google để tồn tại qua các lần khởi động lại và vẫn ẩn mình. Cơ chế này đảm bảo sự dai dẳng và khả năng chiếm quyền root tiềm tàng trên hệ thống bị ảnh hưởng.
Chỉ số Nhận diện Sự xâm nhập (IoC)
Dựa trên nội dung được cung cấp, không có chỉ số nhận diện sự xâm nhập (IoC) cụ thể nào về địa chỉ IP, tên miền hoặc hash của tệp được liệt kê. Thông tin gốc chỉ đề cập đến việc các địa chỉ IP và tên miền được che chắn có chủ đích để ngăn chặn việc truy cập ngẫu nhiên. Để phân tích chi tiết hơn, các chuyên gia an ninh mạng nên sử dụng các nền tảng threat intelligence chuyên biệt như MISP hoặc VirusTotal để khôi phục và kiểm tra các IoC liên quan.
Biện pháp Phòng ngừa và Bảo vệ Hệ thống
Việc bảo vệ bản thân khỏi Reaper bắt đầu bằng việc hiểu cách nó xâm nhập. Mã độc Reaper phụ thuộc rất nhiều vào kỹ thuật social engineering, lừa người dùng thực hiện những hành động có vẻ bình thường nhưng thực chất lại trao quyền truy cập hệ thống. Người dùng cần nâng cao cảnh giác để đảm bảo an toàn thông tin cá nhân.
Nếu một trang web đột nhiên mở Script Editor hoặc Terminal của bạn và yêu cầu bạn nhấp vào nút “Play”, hãy đóng cửa sổ đó ngay lập tức. Đó không phải là cách phần mềm hợp pháp hoạt động. Đây là dấu hiệu rõ ràng của một mối đe dọa tiềm tàng và cần được xử lý ngay lập tức để duy trì an ninh mạng.
Người dùng không bao giờ nên nhập mật khẩu hệ thống Mac của họ vào một cửa sổ pop-up xuất hiện ngay sau khi cài đặt phần mềm. Nếu bất kỳ chương trình nào yêu cầu mật khẩu của bạn ngay sau khi cài đặt, hãy coi đó là một dấu hiệu cảnh báo rõ ràng về rủi ro bảo mật.
Đối với những người giữ tiền điện tử, việc chuyển tiền sang ví lạnh ngoại tuyến hoặc một thiết bị chuyên dụng riêng biệt an toàn hơn nhiều so với việc giữ ví trên máy Mac chính của bạn. Điều này giảm thiểu nguy cơ đánh cắp dữ liệu tài sản kỹ thuật số.
Giữ hệ điều hành và phần mềm bảo mật của bạn được cập nhật liên tục sẽ giúp hệ thống phòng thủ của bạn có cơ hội tốt hơn để phát hiện các biến thể mã độc stealer mới trước khi chúng gây ra thiệt hại lâu dài. Việc thường xuyên cập nhật bản vá là yếu tố then chốt để đảm bảo bảo mật mạng.
