Một chiến dịch mã độc mới đã xuất hiện nhắm vào người dùng macOS, tập trung vào việc đánh cắp dữ liệu ví tiền điện tử. Mã độc này, được định danh là Nova Stealer, sử dụng phương pháp tinh vi để lừa nạn nhân bằng cách thay thế các ứng dụng ví tiền điện tử hợp pháp bằng phiên bản giả mạo, sau đó đánh cắp các cụm từ khôi phục ví (recovery phrases).

Mã độc Nova Stealer: Cơ chế hoạt động và kỹ thuật tấn công

Nova Stealer là một stealer dựa trên Bash, đã được xác định là tấn công người dùng các ví tiền điện tử phổ biến như Ledger Live, Trezor Suite và Exodus.

Chuỗi tấn công ban đầu

Cuộc tấn công bắt đầu bằng một dropper không xác định tải xuống và thực thi script có tên mdriversinstall.sh từ máy chủ chỉ huy và kiểm soát (C2) tại hxxps://ovalresponsibility[.]com/mdriversinstall[.]sh.

Script khởi tạo này tạo một thư mục ẩn tại ~/.mdrivers và cài đặt một số thành phần, bao gồm một trình quản lý script và trình khởi chạy. Mã độc tạo một ID người dùng duy nhất bằng lệnh uuidgen và lưu trữ nó trong ~/.mdrivers/user_id.txt để theo dõi các hệ thống bị nhiễm.

Thiết kế modular và cơ chế duy trì

Các nhà nghiên cứu bảo mật của BruceKetta.space đã xác định chiến dịch Nova Stealer và lưu ý thiết kế modular của nó. Mã độc sử dụng một script điều phối có tên mdriversmngr.sh để tải xuống các module bổ sung từ máy chủ C2.

Các module này được mã hóa ở định dạng Base64 và được lưu trữ trong ~/.mdrivers/scripts. Mã độc đạt được tính bền vững bằng cách tạo một tệp LaunchAgent plist có tên application.com.artificialintelligence, đảm bảo các script tự động chạy mỗi khi hệ thống khởi động.

Kỹ thuật ẩn giấu tiến trình

Một kỹ thuật được Nova Stealer sử dụng là chạy các script bên trong các phiên screen tách rời, sử dụng lệnh screen -dmS <name> <path>.

Phương pháp này giữ cho các tiến trình độc hại chạy độc lập trong nền, ẩn khỏi tầm nhìn của người dùng. Các tiến trình này vẫn tồn tại ngay cả khi người dùng đăng xuất vì chúng chạy dưới dạng các phiên daemon với cờ -dmS.

Kỹ thuật tráo đổi ứng dụng ví tiền điện tử

Khả năng nguy hiểm nhất của Nova Stealer liên quan đến việc tráo đổi các ứng dụng ví tiền điện tử hợp pháp bằng các phiên bản giả mạo.

Phát hiện và gỡ bỏ ứng dụng gốc

Thành phần mã độc mdriversswaps.sh phát hiện xem Ledger Live hoặc Trezor Suite có được cài đặt trên hệ thống hay không bằng cách kiểm tra các đường dẫn trong /Applications/.

Khi phát hiện, script sẽ xóa các ứng dụng gốc bằng lệnh rm -rf và xóa các mục nhập cơ sở dữ liệu Launchpad của chúng thông qua các lệnh SQLite, ví dụ:

DELETE FROM apps/items WHERE title LIKE 'Ledger Live%';

Cài đặt ứng dụng giả mạo và lừa đảo

Mã độc sau đó tải xuống các ứng dụng thay thế độc hại từ các miền cụ thể, bao gồm hxxps://wheelchairmoments[.]com cho Ledger Live giả và hxxps://sunrisefootball[.]com cho Trezor Suite giả.

Các kho lưu trữ ZIP này được lưu vào ~/Library/LaunchAgents/ và giải nén để thay thế các ứng dụng gốc. Mã độc sửa đổi cấu hình Dock bằng cách sử dụng /usr/libexec/PlistBuddy để xóa mục nhập ứng dụng cũ và thêm một mục nhập mới trỏ đến ứng dụng giả mạo.

Thu thập cụm từ khôi phục

Các ứng dụng ví giả mạo sử dụng Swift và WebKit để hiển thị các trang lừa đảo trông hợp pháp. Khi nạn nhân mở ứng dụng mà họ tin là ví của mình, họ sẽ thấy giao diện khôi phục yêu cầu nhập cụm từ seed của mình.

Mã JavaScript độc hại bao gồm xác thực chống lại danh sách từ BIP-39 và SLIP-39 để cung cấp chức năng tự động hoàn thành, khiến giao diện giả mạo trông rất chân thực.

Khi người dùng nhập các từ khôi phục, dữ liệu được gửi đến các điểm cuối /seed và /seed2 với độ trễ 200-400ms sau mỗi lần nhấn phím, cho phép kẻ tấn công chụp các cụm từ một phần trong thời gian thực mà không cần chờ gửi cuối cùng. Kỹ thuật này gia tăng nguy cơ đánh cắp dữ liệu nhạy cảm.

Thu thập và đánh cắp dữ liệu

Nova Stealer cũng chạy các module xuất dữ liệu chuyên dụng. Thành phần mdriversfiles.sh tìm kiếm và đánh cắp các tệp ví, bao gồm nhật ký Trezor IndexedDB, các tệp Exodus như passphrase.json và seed.seco, và tệp app.json của Ledger.

Các tệp này được tải lên máy chủ C2 cứ sau 20 giờ bằng cách sử dụng các yêu cầu POST nhị phân. Ngoài ra, mdriversmetrics.sh thu thập thông tin hệ thống, bao gồm các ứng dụng đã cài đặt, các tiến trình đang chạy và các mục Dock, để giúp kẻ tấn công lập hồ sơ nạn nhân và cải thiện các chiến dịch của chúng.

Chỉ số thỏa hiệp (IOCs)

Để hỗ trợ các hoạt động phòng thủ an ninh mạng, các chỉ số thỏa hiệp (IOCs) sau đây đã được xác định liên quan đến chiến dịch Nova Stealer:

• C2 Server (tải dropper):hxxps://ovalresponsibility[.]com/mdriversinstall[.]sh
• Miền tải ứng dụng Ledger Live giả:hxxps://wheelchairmoments[.]com
• Miền tải ứng dụng Trezor Suite giả:hxxps://sunrisefootball[.]com
• Thư mục cài đặt mã độc:~/.mdrivers
• LaunchAgent Persistence:application.com.artificialintelligence.plist