Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch mã độc macOS mới, trong đó các tác nhân đe dọa đang lạm dụng chứng chỉ ký mã (code-signing certificates) loại Extended Validation (EV) để phát tán các payload dạng đĩa ảo (DMG) hoàn toàn không bị phát hiện (FUD).

Khai Thác Chứng Chỉ EV (Extended Validation) trên macOS

Việc lạm dụng chứng chỉ EV đã tồn tại từ lâu trong hệ sinh thái Windows, thường được dùng để vượt qua các biện pháp bảo mật. Tuy nhiên, sự mở rộng của kỹ thuật này sang các chiến dịch mã độc macOS đánh dấu một sự leo thang đáng kể trong việc khai thác mã ký số.

Chứng chỉ EV đòi hỏi quy trình xác minh danh tính nghiêm ngặt và đầu tư tài chính đáng kể từ các nhà phát triển phần mềm hợp pháp. Trên nền tảng Apple, EV certificates được cấp phát rất hạn chế và với chi phí cao, đại diện cho tiêu chuẩn vàng về độ tin cậy khi ký mã ứng dụng.

Các chứng chỉ này được thiết kế để đảm bảo rằng phần mềm đến từ một nguồn đáng tin cậy, cung cấp một lớp bảo vệ quan trọng cho người dùng. Do đó, việc lạm dụng chúng gây ra một mối đe dọa nghiêm trọng đến hệ thống tin cậy cốt lõi của macOS.

Các đối tượng tấn công đã có được các chứng chỉ này—bằng cách đánh cắp, mua qua các kênh bất hợp pháp, hoặc lạm dụng tài liệu nhận dạng bị lộ. Sau khi được ký, các payload DMG chứa mã độc macOS này xuất hiện hợp pháp đối với các kiểm tra bảo mật của hệ điều hành, đặc biệt là Gatekeeper, và được người dùng cài đặt dễ dàng mà không hề nghi ngờ.

Chi Tiết Mẫu Mã Độc DMG

Một mẫu DMG mới đã được xác định với hàm băm SHA-256: a031ba8111ded0c11acfede9ab83b4be8274584da71bcc88ff72e2d51957dd7. Mẫu này được ký bởi một Developer ID mới: THOMAS BOULAY DUVAL (J97GLQ5KW9).

Những kẻ điều hành chiến dịch đã thêm các đoạn tên của người ký vào bundle identifier trong một nỗ lực thô sơ nhằm giả mạo tính hợp pháp. Ví dụ, “balaban.sudoku” bắt chước “Alina Balaban,” và “thomas.parfums” gợi nhắc “Thomas Boulay Duval.” Mặc dù có thủ đoạn này, việc kiểm tra sâu hơn dễ dàng phát hiện hành vi độc hại thực sự của mã độc macOS này.

Phân Tích Kỹ Thuật Payload

Phân tích tệp thực thi Mach-O bên trong DMG tiết lộ nhiều tham chiếu đến từ tiếng Pháp “parfums” được nhúng trong các bảng chuỗi (string tables). Đây là một dấu hiệu nhận biết đặc trưng cho biến thể mã độc macOS này.

Cơ chế tấn công sử dụng AppleScript được nhúng. AppleScript này sẽ được tải về khi chạy từ một URL từ xa là franceparfumes[.]org/parfume. Kỹ thuật này sử dụng cơ sở hạ tầng điều khiển và ra lệnh (C2) để phân phối payload giai đoạn hai, tương tự như các phương pháp được mô tả bởi @osint_barbie trong một chủ đề Twitter gần đây.

Cơ Chế Tải và Thực Thi Payload Giai Đoạn Hai

Sau khi được thực thi, AppleScript sẽ thả và chạy một payload giai đoạn hai được xác định là Odyssey Stealer. Đây là một trojan thu thập thông tin xác thực đã từng xuất hiện trong các triển khai trên Windows, nay đã nhắm mục tiêu sang môi trường macOS.

Script này gọi các API hệ thống thông qua phương thức Swift’s dataTaskWithURL:completionHandler: để tải xuống mã nhị phân của stealer. Sau đó, nó thực thi mã nhị phân này trong vùng chứa đã ký mà không gây ra cảnh báo bảo mật, góp phần vào thành công của chiến dịch tấn công mạng tinh vi này.

Odyssey Stealer: Mã Độc Đánh Cắp Thông Tin

Odyssey Stealer là một loại mã độc macOS được thiết kế đặc biệt để thu thập các thông tin xác thực nhạy cảm từ hệ thống bị nhiễm. Các thông tin này có thể bao gồm mật khẩu, dữ liệu trình duyệt, và các tài liệu quan trọng khác.

Sự xuất hiện của Odyssey Stealer trong các chiến dịch sử dụng chứng chỉ EV cho thấy một mức độ tinh vi mới của các tấn công mạng nhắm vào người dùng macOS. Mục tiêu cuối cùng là chiếm đoạt thông tin cá nhân và doanh nghiệp, gây ra rủi ro nghiêm trọng về bảo mật dữ liệu.

Việc lạm dụng các chứng chỉ đáng tin cậy giúp Odyssey Stealer có thể hoạt động âm thầm và không bị các biện pháp bảo mật truyền thống phát hiện trong một khoảng thời gian đáng kể. Điều này làm tăng thời gian phản ứng cho các nạn nhân và tổ chức bị ảnh hưởng.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Để hỗ trợ các hoạt động phòng thủ, các nhóm bảo mật có thể giám sát các chứng chỉ EV bị lạm dụng bởi Odyssey Stealer. Thông tin này có sẵn qua công cụ tra cứu công khai của CertCentral tại certcentral.org/lookup?detail_type=malware&query=Odyssey+Stealer, được duy trì bởi @SquiblydooBlog.

Việc sử dụng chứng chỉ EV để ký mã độc macOS đại diện cho một sự thay đổi đáng lo ngại trong kỹ thuật khai thác mã ký số. Kỹ thuật này làm suy yếu cơ chế bảo mật dựa trên danh tiếng và độ tin cậy của nhà phát triển, đặt ra thách thức lớn cho các hệ thống an ninh mạng hiện tại và trong tương lai.

Hậu Quả và Biện Pháp Phòng Ngừa

Việc các tác nhân đe dọa lạm dụng chứng chỉ EV đã làm suy yếu nghiêm trọng mô hình tin cậy ký mã của Apple. Mô hình này được xây dựng để đảm bảo rằng phần mềm chạy trên macOS là an toàn và đáng tin cậy.

Ngay sau khi các chứng chỉ như vậy được báo cáo và thêm vào danh sách thu hồi (revocation list), các chiến dịch mã độc macOS tiếp theo sẽ không thể khởi chạy trên các hệ thống đã được cập nhật. Tuy nhiên, quá trình này cần thời gian và sự phối hợp.

Đáng chú ý, “cửa sổ cơ hội” cho việc triển khai không bị phát hiện có thể kéo dài vài ngày hoặc thậm chí vài tuần. Khoảng thời gian vàng này đủ để gây nguy hại cho nhiều nạn nhân trước khi các biện pháp phòng vệ được áp dụng rộng rãi và các chứng chỉ độc hại bị vô hiệu hóa.

Các tổ chức và người dùng cuối cần duy trì cảnh giác cao độ và chủ động trong việc bảo vệ hệ thống. Cần xác minh tính hợp pháp của chứng chỉ không chỉ dựa vào các lời nhắc của Gatekeeper mà còn thông qua các công cụ và quy trình kiểm tra bổ sung. Đồng thời, việc tận dụng các nguồn cấp dữ liệu tình báo mối đe dọa (threat intelligence feeds) là thiết yếu để chặn các miền độc hại và các chứng chỉ đã bị thu hồi kịp thời.

Việc báo cáo và thu hồi kịp thời các chứng chỉ EV bị lạm dụng là rất quan trọng để phá vỡ các chiến dịch này và bảo vệ môi trường macOS khỏi các mối đe dọa tương tự được ký bằng chứng chỉ giả mạo. Đây là một nỗ lực chung giữa các nhà cung cấp, cộng đồng bảo mật và người dùng cuối để duy trì an toàn thông tin.