Jamf Threat Labs đã phát hiện một họ mã độc stealer mới mang tên mã độc DigitStealer, đánh dấu sự tiến hóa đáng kể trong các loại mã độc nhắm mục tiêu vào macOS. Khác với các infostealer truyền thống thường tuân theo một luồng thực thi tuyến tính, mã độc DigitStealer triển khai các kỹ thuật tấn công đa giai đoạn phức tạp, kiểm tra chống phân tích mở rộng và các cơ chế duy trì quyền truy cập (persistence) mới lạ. Điều này cho thấy kẻ tấn công có sự am hiểu sâu sắc về kiến trúc macOS, đặt ra một mối đe dọa mạng nghiêm trọng cho người dùng và tổ chức.
Chiến dịch tấn công ban đầu và cơ chế xâm nhập
Kỹ thuật phân phối và che giấu ban đầu
Chiến dịch mã độc DigitStealer khởi đầu bằng một ứng dụng có vẻ ngoài hợp pháp, được ngụy trang thành DynamicLake, một tiện ích macOS có thật. Payload độc hại được phân phối thông qua một ảnh đĩa không có chữ ký có tiêu đề “DynamicLake.dmg”, được lưu trữ trên tên miền lừa đảo dynamiclake[.]org.
Không giống như phiên bản hợp pháp được ký bằng Developer Team ID XT766AV9R9, biến thể độc hại này thiếu mã ký số hợp lệ và hoàn toàn không bị phát hiện trên VirusTotal tại thời điểm phân tích.
Vượt qua cơ chế bảo vệ Gatekeeper
Ảnh đĩa sử dụng kỹ thuật drag-to-terminal để ghi đè các biện pháp bảo vệ của macOS Gatekeeper, từ đó giành quyền thực thi mã ban đầu. Kỹ thuật này lợi dụng việc người dùng tự nguyện kéo thả file vào Terminal để bỏ qua các cảnh báo bảo mật.
Đáng chú ý, tệp dropper nhúng bên trong ảnh đĩa sử dụng phần mở rộng “.msi”, vốn thường liên quan đến trình cài đặt của Windows. Đây là một điểm bất thường đối với macOS và có thể là một nỗ lực để che giấu mục đích hoặc đơn giản là một lỗi đóng gói từ phía tác giả mã độc.
Kiến trúc tấn công đa giai đoạn tinh vi của mã độc DigitStealer
Cuộc tấn công diễn ra thông qua một quy trình triển khai bốn giai đoạn phức tạp. Mỗi giai đoạn được thiết kế để né tránh sự phát hiện thông qua kỹ thuật che giấu (obfuscation) và phân tách chức năng rõ ràng, làm phức tạp quá trình phân tích và phòng thủ.
Giai đoạn Một: Dropper cơ sở và các kiểm tra chống phân tích
Giai đoạn đầu tiên bắt đầu bằng một lệnh bash one-liner đơn giản. Lệnh này có nhiệm vụ truy xuất một script đã được mã hóa base64 và che giấu từ cơ sở hạ tầng của kẻ tấn công.
Điểm khác biệt của dropper này nằm ở khả năng chống phân tích tiên tiến. Script thực hiện các kiểm tra mở rộng đối với máy ảo, môi trường debug, và đặc biệt là các tính năng phần cứng dành riêng cho chip Apple Silicon.
Nó cố tình tránh thực thi trên các hệ thống M1 nhưng lại nhắm mục tiêu vào chip M2 và các chip mới hơn bằng cách kiểm tra các tính năng ARM cụ thể như FEAT_BTI, FEAT_SSBS, FEAT_ECV và FEAT_RPRES.
Ngoài ra, mã độc còn bao gồm tính năng lọc dựa trên vị trí địa lý. Nếu ngôn ngữ hệ thống khớp với một số quốc gia nhất định, mã độc sẽ tự động chấm dứt thực thi. Điều này có thể cho thấy căn cứ hoạt động của kẻ tấn công.
Các giai đoạn khai thác dữ liệu trong bộ nhớ
Các giai đoạn từ Hai đến Bốn bao gồm bốn payload riêng biệt, tất cả đều được thực thi hoàn toàn trong bộ nhớ, không để lại dấu vết đáng kể trên đĩa cứng.
- Payload thứ nhất: Là một infostealer viết bằng AppleScript dạng plaintext. Nó nhắc người dùng nhập thông tin đăng nhập và thu thập dữ liệu nhạy cảm, bao gồm thông tin trình duyệt, ví tiền điện tử, cơ sở dữ liệu keychain và cấu hình Telegram.
- Payload thứ hai: Được che giấu trong JavaScript for Automation (JXA). Payload này phản ánh chức năng của infostealer truyền thống, tập trung đặc biệt vào các tài sản tiền điện tử.
Kỹ thuật chiếm đoạt Ledger Live
Một đổi mới đáng chú ý của mã độc DigitStealer là cách tiếp cận để xâm phạm Ledger Live. Thay vì thay thế ứng dụng bằng một phiên bản đã bị trojan hóa duy nhất, mã độc tải xuống ba thành phần riêng biệt và ghép nối chúng để tạo lại tệp app.asar. Đây là một kỹ thuật đa phần được thiết kế để né tránh các hệ thống phát hiện tệp đơn.
Phiên bản độc hại sẽ khôi phục tên ứng dụng thành “Ledger Live” và hạ cấp số phiên bản. Điều này có thể nhằm mục đích bỏ qua xác thực chữ ký của ứng dụng.
Cơ chế duy trì quyền truy cập và liên lạc với máy chủ điều khiển
Giai đoạn cuối cùng thiết lập cơ chế duy trì quyền truy cập thông qua một Launch Agent. Cơ chế này sử dụng một kỹ thuật sáng tạo: thay vì chứa các payload tĩnh, nó chủ động truy xuất các lệnh từ các bản ghi TXT được lưu trữ trên máy chủ điều khiển của kẻ tấn công.
Cách tiếp cận này là một sự thay đổi so với các phương pháp duy trì quyền truy cập thông thường của mã độc macOS, thể hiện các thực tiễn bảo mật hoạt động tinh vi của tác giả mã độc.
Agent duy trì này liên tục thăm dò máy chủ chỉ huy và kiểm soát (C2) khoảng mười giây một lần, gửi mã định danh phần cứng (hardware UUID) của hệ thống đã được băm bằng MD5.
Dấu hiệu xâm nhập (Indicators of Compromise – IOCs)
Để hỗ trợ các tổ chức trong việc phát hiện xâm nhập và phòng thủ, dưới đây là các IOCs được xác định liên quan đến chiến dịch mã độc DigitStealer:
- SHA-256 của ảnh đĩa độc hại:
5c73987e642b8f8067c2f2b92af9fd923c25b2ec - Tên miền lừa đảo:
dynamiclake[.]org
Phân tích kỹ thuật và khuyến nghị bảo mật
Kiến trúc tinh vi của mã độc DigitStealer phản ánh bối cảnh an ninh mạng đang phát triển nhắm mục tiêu vào hệ sinh thái của Apple. Kẻ tấn công thể hiện kiến thức nâng cao về các chi tiết nội bộ của macOS, sử dụng các dịch vụ đám mây hợp pháp để lưu trữ payload, và áp dụng các kỹ thuật chống phân tích hiện đại.
Bằng cách chia nhỏ chức năng thành nhiều giai đoạn và tận dụng các dịch vụ như pages.dev của Cloudflare, tác giả mã độc đã làm phức tạp hóa nỗ lực phát hiện và chặn. Điều này đòi hỏi các biện pháp bảo mật chủ động và linh hoạt hơn.
Các nhóm bảo mật cần ưu tiên phát hiện dựa trên hành vi thay vì chỉ dựa vào các chữ ký tĩnh, đặc biệt khi các payload này thực thi hoàn toàn trong bộ nhớ với dấu vết trên đĩa tối thiểu. Các giải pháp phòng chống mối đe dọa tiên tiến, như Jamf Protect, nên được cấu hình ở chế độ chặn và duy trì các kiểm soát mối đe dọa.
Để tìm hiểu sâu hơn về phân tích kỹ thuật của mã độc DigitStealer, bạn có thể tham khảo báo cáo chi tiết từ Jamf Threat Labs: Phân tích DigitStealer macOS Infostealer.
