Phân tích Chiến Dịch Phần Mềm Độc Hại Poseidon Stealer Trên macOS

18/03/2025
1 mins read

Bài viết từ GBHackers thảo luận về một chiến dịch phần mềm độc hại tinh vi nhắm vào người dùng macOS thông qua giao diện giả mạo DeepSeek.ai, được gọi là “Poseidon Stealer.” Dưới đây là các điểm chính:

Nội dung
1. Đường dẫn lây nhiễm và chiến thuật kỹ thuật xã hội:
2. Phân tích kỹ thuật điều hành tải trọng:
3. Biện pháp chống gỡ (Anti-Debugging):
4. Khả năng lấy dữ liệu:

1. Đường dẫn lây nhiễm và chiến thuật kỹ thuật xã hội:

  • Cuộc tấn công bắt đầu bằng các chiến dịch quảng cáo độc hại, chuyển hướng người dùng đến deepseek.exploreio[.]net, một bản sao gần như hoàn hảo của nền tảng hợp pháp DeepSeek.ai.
  • Các nạn nhân không nghi ngờ khi nhấp vào nút “Bắt đầu ngay” sẽ kích hoạt một chuỗi tải xuống cho một tệp ảnh đĩa độc hại có tên DeepSeek_v.[0-9].[0-9]{2}.dmg được lưu trữ trên manyanshe[.]com.
  • Khi gắn DMG, người dùng sẽ nhận được hướng dẫn kéo một tệp có tên “DeepSeek.file” vào Terminal để cài đặt.

2. Phân tích kỹ thuật điều hành tải trọng:

  • Tệp shell script (DeepSeek.file) sử dụng mã hóa nhiều giai đoạn Base64 để che giấu mục đích độc hại của nó.
  • Khi được giải mã, script thực hiện:
    • cp “/Volumes/DeepSeek/.DeepSeek” “/tmp/.DeepSeek”
    • xattr -c “/tmp/.DeepSeek”
    • chmod +x “/tmp/.DeepSeek”
    • /tmp/.DeepSeek
  • Chuỗi này sao chép nhị phân phần mềm độc hại vào một thư mục tạm thời, gỡ bỏ các thuộc tính bảo mật, cấp quyền thực thi và khởi chạy tải trọng.

3. Biện pháp chống gỡ (Anti-Debugging):

  • Phần mềm đánh cắp này áp dụng nhiều biện pháp chống gỡ, bao gồm:
    • **PT_DENY_ATTACH** thông qua ptrace() để chặn việc gắn debugger
    • **sysctl() Kiểm tra Tracing Process** theo dõi các cờ P_TRACED
    • **Danh sách đen tên người dùng** nhắm vào các nhà nghiên cứu (“maria”, “jackiemac”, v.v.)

4. Khả năng lấy dữ liệu:

  • Poseidon thể hiện khả năng thu thập dữ liệu toàn diện, nhắm đến:
    • Dữ liệu trình duyệt: Cookies, mật khẩu, thẻ tín dụng từ Chrome/Firefox
    • Ví tiền điện tử: Khóa riêng từ Ledger Live, Trezor Suite, Electrum
    • Tài liệu: Tệp TXT, PDF, DOCX từ Desktop/Documents
    • Keychain: Xuất đầy đủ của /Library/Keychains/login.keychain-db

Chiến dịch phần mềm độc hại này nổi bật với các chiến thuật đang phát triển của các tác nhân đe dọa, những người ngày càng sử dụng các kỹ thuật tinh vi để vượt qua các biện pháp bảo mật và phân phối phần mềm độc hại mà không bị phát hiện.

Tags