Kể từ khi Apple loại bỏ tính năng ghi đè Gatekeeper phổ biến “right-click and open” vào tháng 8 năm 2024, các tác nhân đe dọa đã thay đổi chiến thuật để phân phối phần mềm độc hại trên macOS. Một kỹ thuật mới đang nổi lên là việc khai thác các tệp AppleScript (.scpt) để thực hiện Gatekeeper bypass và phân phối các công cụ đánh cắp thông tin xác thực, thường được ngụy trang thành các bản cập nhật phần mềm hợp pháp từ các ứng dụng phổ biến như Zoom và Microsoft Teams.

Sự Tiến Hóa Của Kỹ Thuật Gatekeeper Bypass Trên macOS

Việc Apple loại bỏ tính năng ghi đè Gatekeeper đã loại bỏ một trong những vector lây nhiễm hiệu quả nhất cho macOS malware. Để đối phó, những kẻ tấn công đã thích nghi bằng cách phát triển các phương pháp phân phối thay thế. Ban đầu, nhiều phương pháp này yêu cầu nạn nhân tương tác thủ công với Terminal, một rào cản đáng kể cho việc khai thác thành công.

Tuy nhiên, các tác nhân đe dọa hiện đã tìm ra một giải pháp lừa đảo hơn: vũ khí hóa các tệp .scpt để thực thi payload độc hại trong khi vẫn duy trì khả năng chối bỏ trách nhiệm và thực hiện một hình thức Gatekeeper bypass mới. Thông tin chi tiết về cơ chế này đã được các nhà nghiên cứu bảo mật ghi nhận tại đây.

Cơ Chế Khai Thác AppleScript: Một Cách Tiếp Cận Gatekeeper Bypass Tinh Vi

Chuỗi tấn công này đơn giản nhưng hiệu quả. Theo mặc định, các tệp .scpt sẽ mở trong Script Editor khi người dùng nhấp đúp. Kẻ tấn công sẽ nhúng các lệnh độc hại vào các script này, đồng thời sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) để khuyến khích người dùng thực thi, từ đó thành công trong nỗ lực Gatekeeper bypass.

Các bình luận trong script thường được thiết kế để thuyết phục người dùng chạy nó, che giấu mã độc thực sự bằng nhiều dòng trống. Khi người dùng nhấp vào nút “Run” hoặc nhấn Command+R, script sẽ thực thi ngay lập tức, ngay cả khi nó đã bị Gatekeeper gắn cờ là bị kiểm dịch (quarantined).

Phương pháp này đặc biệt nguy hiểm vì Script Editor là một ứng dụng hợp pháp của macOS, khiến cuộc tấn công ít đáng ngờ hơn so với các cơ chế phân phối macOS malware truyền thống. Các nhà nghiên cứu bảo mật đã xác định các tệp .scpt được sử dụng để tạo các tài liệu giả mạo và trình cài đặt ứng dụng một cách thuyết phục.

Sự Lây Lan Của Kỹ Thuật Tấn Công: Từ APT Đến Macos Malware Phổ Biến

Kỹ thuật này, ban đầu được phát triển bởi các tác nhân đe dọa cao cấp (APT), giờ đây đã được các họ mã độc phổ biến áp dụng, bao gồm Odyssey Stealer và MacSync Stealer. Sự “chảy xuống” của các chiến thuật APT này cho thấy kỹ thuật đã trưởng thành và trở thành một vector tấn công macOS malware được sử dụng rộng rãi.

Chiến Thuật Ngụy Trang Nâng Cao Để Đạt Được Gatekeeper Bypass

Các tác nhân đe dọa đã tạo ra các tệp .docx và .pptx giả mạo dưới dạng tài liệu hợp pháp, như đề xuất tài chính và thỏa thuận đầu tư, hoàn chỉnh với các biểu tượng tùy chỉnh để tăng tính đáng tin cậy. Tương tự, kẻ tấn công đã phân phối các trình cài đặt cập nhật giả mạo cho Teams, Zoom và các ứng dụng phổ biến khác thông qua các trang web lừa đảo (phishing) tinh vi được thiết kế để đánh lừa người dùng macOS.

Ngoài việc ngụy trang tên tệp, kẻ tấn công còn tăng cường thành phần kỹ thuật xã hội bằng cách gán các biểu tượng tùy chỉnh cho tệp .scpt. Các biểu tượng này được lưu trữ trong resource fork của tệp và được bảo toàn khi tệp được phân phối qua các kho lưu trữ ZIP hoặc DMG. Khi người dùng giải nén các tệp này, họ sẽ thấy các biểu tượng tài liệu hoặc ứng dụng giả mạo rất thuyết phục thay vì các chỉ báo script, làm tăng đáng kể khả năng thực thi và góp phần vào một Gatekeeper bypass hiệu quả.

Phân tích VirusTotal cho thấy nhiều tệp .scpt độc hại này đã hoàn toàn tránh được sự phát hiện, với không một công cụ chống vi-rút nào gắn cờ chúng là độc hại. Khi tệp được giải nén trên điểm cuối Mac, biểu tượng tùy chỉnh sẽ được hiển thị, tạo ra một tài liệu giả mạo thuyết phục.

Các mẫu sử dụng kỹ thuật này đã được phát hiện ngụy trang thành các bản cập nhật Microsoft Teams SDK, cập nhật Zoom SDK và các gói phần mềm chung, cho thấy phạm vi rộng lớn của các kịch bản tấn công. Sự xuất hiện của cơ chế phân phối dựa trên AppleScript đại diện cho một lỗ hổng macOS nghiêm trọng trong bảo mật. Đây thực sự là một lỗ hổng macOS mà người dùng và quản trị viên cần hết sức cảnh giác.

Biện Pháp Phòng Ngừa và Phát Hiện Mối Đe Dọa Lỗ Hổng macOS

Không giống như Windows, nơi các cuộc tấn công dựa trên script tương tự đã được giảm thiểu thông qua việc thay đổi ứng dụng mặc định, người dùng macOS thiếu các tùy chọn phòng thủ đơn giản. Các tệp .dmg, tương tự như các tệp .zip, cũng bảo toàn các biểu tượng của tệp, một điểm chung trong các mẫu “Drag and drop to the terminal DMGs” được quan sát.

Triển Khai Chiến Lược Bảo Mật Hiệu Quả Để Ngăn Chặn Gatekeeper Bypass

Các nhóm bảo mật có thể triển khai các biện pháp phòng thủ bằng cách thay đổi ứng dụng mặc định cho các tệp .scpt khỏi Script Editor, tương tự như các khuyến nghị cho tệp .js và .vbs trên Windows. Đây là một bước quan trọng để giảm thiểu nguy cơ Gatekeeper bypass dựa trên AppleScript.

Các nhà săn lùng mối đe dọa (threat hunters) có thể phát hiện các script độc hại bằng cách tìm kiếm các mẫu lệnh đáng ngờ, bao gồm các chuỗi bị làm rối (obfuscated strings) và các mã sự kiện liên quan đến thực thi shell script. Khi kẻ tấn công tiếp tục tinh chỉnh các kỹ thuật này và áp dụng các chiến lược làm rối tương tự như các cuộc tấn công PowerShell, các tổ chức phải duy trì cảnh giác trong việc giám sát các mối đe dọa dựa trên AppleScript nhắm vào môi trường macOS của họ nhằm ngăn chặn macOS malware hiệu quả.