Cảnh báo nghiêm trọng: Mã độc macOS tấn công qua Google Ads
Một chiến dịch mã độc tinh vi đang nhắm mục tiêu vào người dùng macOS, lợi dụng kết quả tìm kiếm được tài trợ trên Google và các nền tảng hợp pháp như Anthropic’s Claude AI cùng Medium. Chiến dịch này đã tiếp cận hơn 15.000 nạn nhân tiềm năng thông qua hai biến thể tấn công khác biệt, khai thác lòng tin của người dùng vào các dịch vụ trực tuyến đã được thiết lập.
Phân tích Chiến dịch Tấn công macOS tiên tiến
Chiến dịch tấn công mạng này cho thấy sự phát triển trong kỹ thuật của các tác nhân đe dọa. Thay vì khai thác lỗ hổng hệ thống trực tiếp, chúng tập trung vào kỹ thuật xã hội và lạm dụng các nền tảng đáng tin cậy.
Mục tiêu chính là triển khai mã độc đánh cắp thông tin, thu thập dữ liệu nhạy cảm từ các hệ thống macOS bị xâm nhập.
Vector Tấn công 1: Lợi dụng Google Ads và Claude AI Giả mạo
Biến thể tấn công đầu tiên tận dụng Google Ads để quảng bá một tạo phẩm Claude AI độc hại. Tạo phẩm này được ngụy trang thành một hướng dẫn bảo mật macOS hợp pháp.
Khi người dùng tìm kiếm cụm từ như “Online dns resolver”, họ sẽ gặp một liên kết được tài trợ. Liên kết này dẫn họ đến một tạo phẩm Claude công khai có tiêu đề “macOS Secure Command Execution”.
Hướng dẫn giả mạo này yêu cầu người dùng dán một lệnh được mã hóa base64 vào ứng dụng Terminal của họ. Lệnh này sẽ giải mã và thực thi một tập lệnh shell độc hại.
echo <base64_encoded_command> | base64 --decode | shTập lệnh shell này có nhiệm vụ tải xuống mã độc đánh cắp thông tin có tên MacSync.
Hoạt động của Mã độc MacSync
Sau khi được thực thi, mã độc MacSync thiết lập kết nối với máy chủ chỉ huy và kiểm soát (C2) của nó. Địa chỉ C2 được xác định là a2abotnet[.]com/dynamic.
Kết nối này sử dụng một token xác thực và khóa API được mã hóa cứng trong mã độc.
Để tránh bị phát hiện, mã độc giả mạo các chuỗi User-Agent của trình duyệt macOS hợp pháp. Điều này khiến lưu lượng mạng của nó giống như hoạt động duyệt web thông thường.
Payload của mã độc tải về một thành phần AppleScript chịu trách nhiệm thực hiện các hoạt động đánh cắp dữ liệu thực tế. Các mục tiêu bao gồm:
- Thông tin xác thực Keychain.
- Dữ liệu trình duyệt web (lịch sử, cookie, mật khẩu đã lưu).
- Tệp ví tiền điện tử.
Dữ liệu bị đánh cắp được nén thành tệp /tmp/osalogging.zip trước khi được đưa ra ngoài. Quá trình này diễn ra thông qua các yêu cầu HTTP POST đến a2abotnet[.]com/gate.
Mã độc bao gồm các cơ chế thử lại tinh vi để xử lý việc truyền tải dữ liệu lớn. Điều này bao gồm tải lên theo từng phần với tối đa 8 lần thử lại và backoff theo cấp số nhân. Sau khi truyền dữ liệu thành công, mã độc sẽ xóa các tệp tạm thời để che giấu dấu vết.
Vector Tấn công 2: Bài viết Medium Giả mạo Apple Support
Biến thể tấn công thứ hai nhắm mục tiêu vào người dùng tìm kiếm “macos cli disk space analyzer”. Chúng sử dụng một bài viết Medium được xuất bản tại apple-mac-disk-space.medium[.]com.
Bài viết này giả mạo là của Đội ngũ Hỗ trợ chính thức của Apple và áp dụng cùng kỹ thuật kỹ thuật xã hội ClickFix. Tuy nhiên, biến thể này sử dụng mã hóa hai lớp và một cơ sở hạ tầng lưu trữ khác.
Lệnh độc hại sử dụng các thủ thuật ghép chuỗi như cur""l thay vì curl. Mục đích là để bỏ qua các hệ thống phát hiện khớp mẫu đơn giản và các quy tắc YARA.
Cả hai biến thể đều minh chứng cho xu hướng ngày càng tăng của các tác nhân đe dọa. Chúng lạm dụng các nền tảng và dịch vụ hợp pháp, đáng tin cậy để phân phối mã độc. Khả năng thực thi lệnh từ xa (remote code execution) thông qua các kỹ thuật này đặt ra rủi ro bảo mật đáng kể.
Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)
Để hỗ trợ các nỗ lực phát hiện và ngăn chặn, các chỉ số thỏa hiệp sau đây đã được xác định:
- Tên miền C2:
a2abotnet[.]com - Đường dẫn liên lạc C2:
a2abotnet[.]com/dynamic - Đường dẫn xuất dữ liệu:
a2abotnet[.]com/gate - Tên tệp tạm thời:
/tmp/osalogging.zip
Khuyến nghị Phòng ngừa và Giảm thiểu Rủi ro An ninh Mạng
Người dùng và tổ chức cần thực hiện các biện pháp phòng ngừa để bảo vệ hệ thống khỏi các cuộc tấn công mạng tương tự:
- Thận trọng khi thực thi lệnh Terminal: Người dùng cần cực kỳ cẩn trọng khi sao chép và thực thi các lệnh terminal từ bất kỳ nguồn trực tuyến nào. Điều này cần được áp dụng ngay cả khi nền tảng có vẻ hợp pháp.
- Xác minh nguồn gốc: Luôn xác minh tính xác thực của các bài viết hỗ trợ tự nhận là từ Apple hoặc các nhà cung cấp đáng tin cậy khác. Không tin tưởng các liên kết được tài trợ một cách mù quáng.
- Triển khai Giải pháp Phát hiện Điểm cuối (EDR): Các tổ chức nên triển khai các giải pháp phát hiện điểm cuối có khả năng giám sát hoạt động terminal đáng ngờ. Giải pháp này cũng cần theo dõi các kết nối mạng đến các máy chủ chỉ huy và kiểm soát không xác định. Việc này là rất quan trọng để đảm bảo an ninh mạng toàn diện.
Để có thêm các thông tin và hướng dẫn về các phương pháp bảo mật tốt nhất, bạn có thể tham khảo từ các nguồn uy tín như CISA.gov: Cybersecurity Best Practices.
