PamStealer: Mối nguy hiểm mới trên macOS cần cập nhật bản vá khẩn cấp

PamStealer: Mối nguy hiểm mới trên macOS cần cập nhật bản vá khẩn cấp

PamStealer là một loại phần mềm độc hại đánh cắp thông tin (infostealer) mới được xác định nhắm vào nền tảng macOS. Mã độc này giả mạo ứng dụng quản lý clipboard mã nguồn mở phổ biến có tên là “Maccy” nhằm bí mật thu thập dữ liệu nhạy cảm của người dùng. Mối đe dọa này cho thấy sự tinh vi ngày càng tăng của các cuộc tấn công mạng nhằm vào hệ điều hành Apple.

Chuỗi Lây Nhiễm Hai Giai Đoạn

PamStealer sử dụng một chuỗi lây nhiễm hai giai đoạn được thiết kế để tránh bị phát hiện và hòa mình vào hoạt động bình thường của macOS. Giai đoạn đầu tiên bắt đầu với một tệp ảnh đĩa độc hại có tên là Maccy.dmg. Bên trong tệp này chứa một tệp AppleScript đã biên dịch (.scpt).

Kích Hoạt Mã Độc

Khi người dùng mở tệp Maccy.dmg, một cửa sổ hiển thị hướng dẫn trông có vẻ vô hại. Người dùng được yêu cầu nhấn nút “Run”. Thao tác kỹ thuật xã hội đơn giản này kích hoạt mã độc ẩn sâu bên trong script.

Giai Đoạn Drop-Payload

Trong giai đoạn đầu, AppleScript hoạt động như một trình thả payload nhẹ. Thay vì sử dụng các công cụ dòng lệnh phổ biến như curl hoặc zsh, nó thực thi một payload JavaScript for Automation (JXA) thông qua các API gốc của macOS như NSURLSession. Cách tiếp cận này giảm thiểu hoạt động có thể bị giám sát trên hệ thống, tránh gây nghi ngờ.

Script sau đó tải xuống một payload giai đoạn hai và cài đặt nó trên hệ thống. Payload này thường được ngụy trang dưới dạng một thành phần hợp pháp của macOS, ví dụ như Finder hoặc Software Update, làm cho việc phát hiện trở nên khó khăn hơn.

Kiểm Tra Môi Trường và Chống Phát Hiện

PamStealer thực hiện các kiểm tra môi trường quan trọng trước khi thực thi. Nó tạo ra một khóa duy nhất dựa trên các thuộc tính hệ thống như kiến trúc CPU, vùng địa lý (locale) và múi giờ. Nếu thiết bị không khớp với cấu hình mong đợi, phần mềm độc hại sẽ tự động thoát mà không để lại dấu vết đáng kể.

Ngoài ra, nó còn tránh các hệ thống ở một số khu vực địa lý nhất định, bao gồm Nga và các quốc gia lân cận, bằng cách kiểm tra cài đặt ngôn ngữ và bố cục bàn phím. Điều này cho thấy một nỗ lực nhằm giảm thiểu khả năng bị phát hiện bởi các nhóm nghiên cứu hoặc phân tích mã độc từ các khu vực này.

Payload Giai Đoạn Hai: Infostealer Viết Bằng Rust

Giai đoạn hai của PamStealer là một tệp nhị phân Mach-O được viết bằng ngôn ngữ Rust. Việc sử dụng Rust trong mã độc macOS là tương đối hiếm, điều này làm tăng thêm tính độc đáo và khó phân tích của nó. Infostealer này thực hiện nhiều hoạt động độc hại, bao gồm đánh cắp thông tin xác thực, giám sát clipboard và exfiltration dữ liệu.

Đánh Cắp Dữ Liệu Xác Thực và Keychain

Nó truy cập các cơ sở dữ liệu trình duyệt sử dụng SQLite để trích xuất mật khẩu đã lưu, cookie và dữ liệu ví. Một kỹ thuật đáng chú ý khác là việc nó tải động các framework bảo mật của macOS để truy cập dữ liệu Keychain mà không làm lộ rõ khả năng của nó trong quá trình phân tích tĩnh.

Kỹ Thuật Thu Thập Mật Khẩu Tinh Vi

Một trong những tính năng nổi bật nhất của PamStealer là kỹ thuật thu thập mật khẩu. Phần mềm độc hại hiển thị một lời nhắc hệ thống giả mạo, yêu cầu người dùng nhập mật khẩu của họ. Sau đó, nó xác thực mật khẩu cục bộ bằng cách sử dụng các Mô-đun Xác thực có thể cắm (PAM) của macOS. Phương pháp này đảm bảo chỉ những thông tin xác thực chính xác mới được ghi lại, đồng thời tránh các lệnh gọi hệ thống đáng ngờ và giảm thiểu cơ hội bị phát hiện.

Giám Sát Clipboard Liên Tục

Dữ liệu clipboard được giám sát liên tục bằng tiện ích pbpaste tích hợp sẵn. Phần mềm độc hại thu thập nội dung clipboard một cách lặp đi lặp lại theo các khoảng thời gian không đều, có khả năng nắm bắt các thông tin nhạy cảm như mật khẩu, token hoặc địa chỉ tiền điện tử.

Cơ Chế Duy Trì Sự Tồn Tại (Persistence)

Để duy trì sự hiện diện trên hệ thống bị xâm nhập, PamStealer đăng ký chính nó như một mục đăng nhập (login item) bằng cách sử dụng cả API hiện đại và cũ của macOS. Nó cũng thả một tệp nhị phân trợ giúp được ngụy trang dưới tên “System Settings” để củng cố các cơ chế persistence.

Ngoài ra, nó cố gắng đánh lừa người dùng cấp quyền Truy cập Toàn bộ Đĩa (Full Disk Access) thông qua các cảnh báo hệ thống giả mạo. Việc đạt được quyền này tăng cường đáng kể khả năng của phần mềm độc hại trong việc truy cập các tệp nhạy cảm trên hệ thống.

Giao Tiếp Command-and-Control (C2)

Phần mềm độc hại giao tiếp với máy chủ command-and-control (C2) tại địa chỉ avenger-sync[.]live. Dữ liệu được gửi đi dưới dạng mã hóa sử dụng thuật toán ChaCha20-Poly1305 trong các yêu cầu JSON. Điều này làm cho việc giám sát và giải mã lưu lượng C2 trở nên phức tạp.

Các nhà phân tích từ Jamf Threat Labs đã quan sát thấy các kết nối đến các điểm cuối Ethereum RPC công cộng. Điều này cho thấy phần mềm độc hại có thể sử dụng cơ sở hạ tầng blockchain cho mục đích C2 hoặc truy xuất payload một cách linh hoạt và khó bị truy vết hơn. Việc tận dụng hạ tầng phi tập trung cho C2 là một xu hướng ngày càng tăng trong các chiến dịch tấn công.

Các Chỉ Số Dấu Hiệu Xâm Nhập (IOCs)

Một số chỉ số dấu hiệu xâm nhập (IOCs) đã được xác định, giúp các nhà nghiên cứu và chuyên gia bảo mật phát hiện và ứng phó với các cuộc tấn công liên quan đến PamStealer. Dưới đây là các IOCs chính:

  • Domains C2: avenger-sync[.]live
  • Domains khác: api.sync-master[.]online, avngr.netlify[.]app
  • Các đường dẫn tệp nghi vấn: ~/Library/Application Support/com.apple.finder.core/
  • Tên tiến trình/tệp ngụy trang: Finder, Software Update, System Settings

PamStealer là một ví dụ điển hình cho thấy sự phát triển của các mối đe dọa trên nền tảng macOS. Bằng cách kết hợp các API gốc, payload viết bằng Rust và kỹ thuật xã hội tiên tiến, những kẻ tấn công đang tạo ra các phần mềm độc hại hoạt động âm thầm hơn, hiệu quả hơn và khó phát hiện hơn với các phương pháp truyền thống. Việc cập nhật bản vá bảo mật và nâng cao nhận thức người dùng là yếu tố then chốt trong việc phòng chống các mối đe dọa này.

Để tìm hiểu sâu hơn về các lỗ hổng và cách thức hoạt động của các mối đe dọa mạng, bạn có thể tham khảo thông tin chi tiết trên NVD (National Vulnerability Database) tại nvd.nist.gov.