Atomic macOS Stealer (AMOS): Backdoor Mới Thỏa Hiệp Lâu Dài Hệ Thống macOS

08/07/2025
5 mins read
Nội dung
Sự Tiến Hóa Đáng Báo Động của Atomic macOS Stealer (AMOS)
Khả Năng Mới và Mối Đe Dọa Mở Rộng
Chuyển Đổi Mô Hình Tấn Công
Phương Thức Lây Nhiễm và Cơ Chế Né Tránh
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Giao Tiếp Command-and-Control (C2) và Xuất Dữ Liệu
Mô Hình MaaS và Nguy Cơ Tiềm Ẩn
Indicators of Compromise (IOCs)
Biện Pháp Phòng Ngừa và Đối Phó

Sự Tiến Hóa Đáng Báo Động của Atomic macOS Stealer (AMOS)

Atomic macOS Stealer (AMOS), một loại malware đánh cắp thông tin khét tiếng nhắm mục tiêu vào người dùng Apple, đã trải qua một bản cập nhật đáng kể, lần đầu tiên giới thiệu một backdoor được nhúng. Diễn biến này, được Moonlock, một bộ phận an ninh mạng của MacPaw, báo cáo, đánh dấu sự leo thang nghiêm trọng trong khả năng của malware, cho phép kẻ tấn công duy trì quyền truy cập dai dẳng vào các hệ thống macOS bị xâm nhập.

Không giống như việc trước đây AMOS chỉ tập trung vào việc đánh cắp dữ liệu từ các tiện ích mở rộng trình duyệt và ví liên quan đến tiền điện tử, phiên bản cập nhật này cho phép thực thi lệnh từ xa (Remote Code Execution – RCE), truy cập đầy đủ cấp độ người dùng và duy trì trạng thái trên hệ thống ngay cả sau khi khởi động lại. Nâng cấp này định vị AMOS là một trong những mối đe dọa nguy hiểm nhất đối với người dùng macOS, với các chiến dịch đã lan rộng trên hơn 120 quốc gia, bao gồm Hoa Kỳ, Pháp, Ý, Vương quốc Anh và Canada.

Khả Năng Mới và Mối Đe Dọa Mở Rộng

Chuyển Đổi Mô Hình Tấn Công

Việc bổ sung một backdoor đã biến AMOS từ một công cụ đánh cắp dữ liệu một lần thành một nền tảng cho việc giám sát và khai thác lâu dài. Backdoor này cho phép kẻ tấn công duy trì sự hiện diện liên tục trên hệ thống bị nhiễm, thu thập thông tin và thực hiện các hành động độc hại theo ý muốn. Điều này thay đổi đáng kể hồ sơ rủi ro cho các nạn nhân, vượt ra ngoài mối lo ngại ban đầu về việc mất thông tin đăng nhập hoặc dữ liệu ví tiền điện tử.

Bản cập nhật này, được cho là trường hợp thứ hai trên toàn cầu về một backdoor quy mô lớn nhắm mục tiêu vào macOS sau các chiến dịch của Triều Tiên, báo hiệu một sự thay đổi trong ý định, dù là từ các nhà phát triển AMOS ban đầu có liên kết với Nga hay các tác nhân khác đã sửa đổi mã.

Phương Thức Lây Nhiễm và Cơ Chế Né Tránh

Malware này chủ yếu được phân phối thông qua các trang web lưu trữ phần mềm lậu hoặc giả mạo, cũng như các chiến dịch lừa đảo spear-phishing tinh vi nhắm mục tiêu vào các cá nhân có giá trị cao, chẳng hạn như những người nắm giữ tiền điện tử.

Quá trình lây nhiễm thường bắt chước các quy trình hợp pháp, chẳng hạn như phỏng vấn xin việc, lừa nạn nhân nhập mật khẩu hệ thống của họ. Sau khi được thực thi, AMOS triển khai một tệp DMG bị trojan hóa. Tệp DMG độc hại này vượt qua các biện pháp bảo vệ macOS Gatekeeper bằng cách sử dụng một binary Mach-O, cùng với các bash scriptAppleScript. Sự kết hợp của các kỹ thuật này cho phép malware bỏ qua các kiểm tra bảo mật ban đầu và thực thi payload độc hại.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Ngoài việc đánh cắp dữ liệu ban đầu, backdoor được thiết lập thông qua các cơ chế duy trì quyền truy cập (persistence) như các tệp LaunchDaemon PLIST. Điều này đảm bảo rằng malware có thể tồn tại sau khi hệ thống khởi động lại, duy trì sự hiện diện dai dẳng và khả năng truy cập cho kẻ tấn công.

Cụ thể, backdoor được ẩn dưới dạng tệp .helper và được hỗ trợ bởi một script .agent. Các thành phần này hoạt động cùng nhau để duy trì kết nối với các máy chủ command-and-control (C2), cho phép kẻ tấn công gửi lệnh, thu thập dữ liệu và quản lý các hoạt động độc hại.

Giao Tiếp Command-and-Control (C2) và Xuất Dữ Liệu

Backdoor, ẩn dưới dạng .helper và được hỗ trợ bởi một script .agent, giao tiếp với các máy chủ command-and-control (C2) để lấy các tác vụ, thực thi các lệnh shell hoặc tự xóa. Điều này phản ánh các chiến thuật thường thấy trong các chiến lược tấn công của Triều Tiên, cho thấy mức độ tinh vi và khả năng quản lý từ xa cao của AMOS.

Dữ liệu được xuất ra ngoài (data exfiltration) diễn ra qua các yêu cầu HTTP POST đến các địa chỉ IP cụ thể. Ngoài ra, các tính năng mới như keylogging được cho là đang trong quá trình thử nghiệm, mở rộng hơn nữa tiềm năng đe dọa của malware này.

Mô Hình MaaS và Nguy Cơ Tiềm Ẩn

Hạ tầng C2 đang hoạt động, cùng với các URL lấy payload độc hại, chỉ ra rằng chiến dịch đang diễn ra mạnh mẽ. Moonlock cảnh báo rằng mô hình Malware-as-a-Service (MaaS) của AMOS có thể dẫn đến nhiều biến thể hơn. Mô hình MaaS cho phép các tác nhân đe dọa khác nhau thuê hoặc mua quyền truy cập vào AMOS, có khả năng tăng cường các kỹ thuật né tránh và cơ hội khai thác.

Đối với người dùng Mac, rủi ro hiện nay không chỉ dừng lại ở việc đánh cắp thông tin đăng nhập mà còn mở rộng đến việc thỏa hiệp toàn bộ hệ thống. Điều này đòi hỏi nhận thức ngay lập tức và các biện pháp phòng thủ mạnh mẽ, chẳng hạn như công cụ chống malware để phát hiện và chặn AMOS trước khi nó tự nhúng vào hệ thống.

Indicators of Compromise (IOCs)

Dựa trên thông tin có sẵn, các Indicators of Compromise (IOCs) liên quan đến Atomic macOS Stealer (AMOS) bao gồm:

  • URL C2/Payload:
    • isnimitz[.]com (được sử dụng để lấy các payload độc hại)
    • Các địa chỉ IP cụ thể được sử dụng cho giao tiếp C2 và xuất dữ liệu qua HTTP POST (không được cung cấp cụ thể trong nguồn thông tin này)
  • Tên tệp và thành phần:
    • Tệp DMG bị trojan hóa (được sử dụng để phân phối malware)
    • Binary Mach-O (được sử dụng để bypass Gatekeeper và thực thi)
    • Các Bash scriptAppleScript (được sử dụng trong quá trình lây nhiễm)
    • Tệp ẩn .helper (thành phần chính của backdoor)
    • Script .agent (hỗ trợ cho backdoor .helper)
  • Cơ chế Persistence:
    • Các tệp LaunchDaemon PLIST (được sử dụng để duy trì quyền truy cập sau khi khởi động lại hệ thống)
  • Tên Malware:
    • Atomic macOS Stealer (AMOS)

Biện Pháp Phòng Ngừa và Đối Phó

Để giảm thiểu rủi ro từ AMOS và các mối đe dọa tương tự, người dùng macOS nên thực hiện các biện pháp bảo mật sau:

  • Cẩn trọng với các nguồn phần mềm: Chỉ tải xuống phần mềm từ các nguồn đáng tin cậy như App Store chính thức hoặc trang web của nhà phát triển. Tránh xa các trang web cung cấp phần mềm lậu, crack hoặc miễn phí không rõ nguồn gốc.
  • Nâng cao nhận thức về Spear-Phishing: Cẩn thận với các email, tin nhắn hoặc liên kết không mong muốn, đặc biệt là những email yêu cầu thông tin cá nhân hoặc mật khẩu. Luôn xác minh danh tính của người gửi trước khi nhấp vào bất kỳ liên kết nào hoặc tải xuống tệp đính kèm.
  • Sử dụng phần mềm chống malware: Triển khai và duy trì các giải pháp chống malware mạnh mẽ được thiết kế đặc biệt cho macOS. Đảm bảo phần mềm này được cập nhật thường xuyên để phát hiện và chặn các biến thể malware mới nhất.
  • Cập nhật hệ điều hành và ứng dụng: Luôn giữ hệ điều hành macOS và tất cả các ứng dụng được cập nhật lên phiên bản mới nhất để tận dụng các bản vá bảo mật và cải tiến.
  • Sử dụng mật khẩu mạnh và quản lý mật khẩu: Sử dụng mật khẩu duy nhất, phức tạp cho tất cả các tài khoản và cân nhắc sử dụng trình quản lý mật khẩu.
  • Kích hoạt xác thực đa yếu tố (MFA/2FA): Bật MFA/2FA cho tất cả các tài khoản hỗ trợ để thêm một lớp bảo mật bổ sung.
  • Sao lưu dữ liệu thường xuyên: Thực hiện sao lưu dữ liệu quan trọng một cách thường xuyên vào một thiết bị lưu trữ ngoại tuyến hoặc dịch vụ đám mây đáng tin cậy.