MacSync Stealer Nguy Hiểm: Lây Nhiễm macOS Qua App Chứng Thực
Một biến thể mới của mã độc MacSync Stealer đang nhắm mục tiêu vào người dùng macOS thông qua các ứng dụng được ký số và chứng thực (notarized) hợp lệ. Điều này đánh dấu một sự thay đổi lớn trong phương thức phân phối của mối đe dọa này.
Không giống như các phiên bản trước yêu cầu người dùng dán lệnh vào Terminal, biến thể cập nhật này hoạt động âm thầm trong nền, giảm thiểu đáng kể tương tác của nạn nhân.
Sự Tiến Hóa Của MacSync Stealer và Phương Thức Lây Nhiễm Mới
Mã độc được ngụy trang dưới dạng một trình cài đặt hợp pháp, phân phối thông qua một trang web giả mạo với tên zk-call-messenger-installer-3.9.2-lts.dmg. Sau khi cài đặt, nó tự động tải xuống và thực thi một script ẩn, có nhiệm vụ đánh cắp thông tin nhạy cảm từ máy tính của nạn nhân.
Vượt Qua Hàng Rào Bảo Mật macOS
MacSync Stealer được đóng gói dưới dạng ứng dụng Swift và được ký bằng Apple Developer Team ID GNJLS3UYZ4. Điều này cho phép nó vượt qua các cảnh báo bảo mật ban đầu mà macOS thường hiển thị đối với phần mềm không đáng tin cậy.
Tại thời điểm các nhà nghiên cứu phát hiện, chứng chỉ này chưa bị Apple thu hồi, cho phép mã độc cài đặt mà không gây ra bất kỳ cảnh báo nào. Tệp ảnh đĩa (disk image) có kích thước lớn bất thường, khoảng 25.5MB, do chứa các tệp PDF giả mạo liên quan đến LibreOffice nhằm mục đích ngụy trang và tăng tính hợp pháp.
Phân Tích Kỹ Thuật Mã Độc MacSync Stealer
Các nhà phân tích của Jamf đã xác định biến thể mã độc MacSync Stealer này khi kiểm tra hệ thống phát hiện của họ về các hoạt động bất thường. Họ nhận thấy mã độc không tuân theo các kiểu tấn công điển hình của các chiến dịch MacSync trước đây, vốn thường dựa vào kỹ thuật kéo và thả vào Terminal (drag-to-terminal) hoặc ClickFix. Nghiên cứu của Jamf đã cung cấp nhiều chi tiết quan trọng về cơ chế hoạt động này.
Cách tiếp cận mới này loại bỏ nhu cầu tương tác của người dùng với Terminal, khiến nạn nhân khó nhận ra mình đang bị tấn công mạng hơn. Sau khi xác nhận mối đe dọa, Jamf Threat Labs đã báo cáo Developer Team ID độc hại cho Apple, và chứng chỉ này đã bị thu hồi sau đó.
Cơ Chế Hoạt Động Của Runtimectl
Mã độc sử dụng một chương trình hỗ trợ được xây dựng bằng Swift có tên runtimectl để xử lý toàn bộ quá trình lây nhiễm. Khi chương trình khởi động, nó kiểm tra kết nối internet của máy tính bằng hàm checkInternet().
Nếu có kết nối, nó sẽ tiến hành tải xuống payload giai đoạn hai từ địa chỉ sau bằng lệnh curl:
hxxps://gatemaden[.]space/curl/985683bd660c0c47c6be513a2d1f0a554d52d241714bb17fb18ab0d0f8cc2dc6Script được lưu vào /tmp/runner và sau đó được kiểm tra để đảm bảo đó là một shell script hợp lệ bằng cách chạy lệnh /usr/bin/file –mime-type -b để xác nhận nó khớp với text/x-shellscript.
Kỹ Thuật Né Tránh và Duy Trì Truy Cập
Trước khi thực thi payload, mã độc loại bỏ cờ com.apple.quarantine bằng hàm removeQuarantine(at:) và đặt quyền truy cập tệp thành 750 để biến nó thành tệp thực thi.
chmod 750 /tmp/runnerNó cũng tạo các tệp nhật ký tại ~/Library/Logs/UserSyncWorker.log và các tệp theo dõi trong ~/Library/Application Support/UserSyncWorker/ để ghi lại hoạt động và ngăn chặn mã độc thực thi quá thường xuyên.
Một cơ chế giới hạn tần suất (rate-limiting) đảm bảo mã độc MacSync Stealer chỉ thực thi một lần sau mỗi 3600 giây. Sau khi script chạy, tệp /tmp/runner sẽ bị xóa để loại bỏ dấu vết khỏi hệ thống.
Cuối cùng, mã độc kết nối đến focusgroovy[.]com để tải xuống các payload bổ sung và giao tiếp với máy chủ chỉ huy và kiểm soát (C2) của nó.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và ngăn chặn hoạt động của biến thể MacSync Stealer này:
- Apple Developer Team ID:
GNJLS3UYZ4 - Malicious Installer Filename:
zk-call-messenger-installer-3.9.2-lts.dmg - Malicious URLs/Domains:
hxxps://gatemaden[.]space/curl/985683bd660c0c47c6be513a2d1f0a554d52d241714bb17fb18ab0d0f8cc2dc6focusgroovy[.]com
- File Paths:
/tmp/runner~/Library/Logs/UserSyncWorker.log~/Library/Application Support/UserSyncWorker/
Biện Pháp Phòng Ngừa và Phát Hiện Mã Độc
Để bảo vệ hệ thống khỏi các mối đe dọa như MacSync Stealer và các cuộc tấn công mạng tương tự, người dùng và quản trị viên hệ thống cần thực hiện các biện pháp sau:
- Luôn xác minh nguồn gốc của bất kỳ phần mềm nào trước khi cài đặt, đặc biệt là các tệp DMG tải xuống từ các trang web không chính thức.
- Sử dụng giải pháp bảo mật Endpoint Detection and Response (EDR) hoặc phần mềm chống mã độc chuyên dụng cho macOS để phát hiện xâm nhập và ngăn chặn các mối đe dọa tiên tiến.
- Theo dõi chặt chẽ lưu lượng mạng để phát hiện các kết nối đáng ngờ đến các miền C2 đã biết hoặc không xác định.
- Cập nhật hệ điều hành macOS và tất cả phần mềm lên phiên bản mới nhất để vá các lỗ hổng bảo mật đã biết.
- Thực hiện các chính sách bảo mật nghiêm ngặt, bao gồm quyền hạn tối thiểu (least privilege) và xác thực đa yếu tố.
