Một chiến dịch Mac malware mới đầy tinh vi đã xuất hiện, khai thác sự tin tưởng của người dùng vào các công cụ chuyển đổi PDF trực tuyến miễn phí. Điều này cho thấy các tội phạm mạng không ngừng phát triển chiến thuật để vượt qua các biện pháp bảo mật hiện đại.

Công ty an ninh mạng Mosyle đã công bố độc quyền về phát hiện JSCoreRunner, một chủng Mac malware chưa từng được biết đến trước đây. Tại thời điểm phát hiện, mã độc này đạt zero detections trên VirusTotal.

JSCoreRunner: Biến Thể Mac Malware Mới Phát Hiện

Mã độc này lây lan qua một trang web độc hại có tên fileripple[.]com. Trang web này giả mạo là một dịch vụ chuyển đổi PDF hợp pháp, lừa người dùng tải xuống một tiện ích dường như vô hại.

Sự phát hiện này diễn ra trong bối cảnh các tội phạm mạng ngày càng khai thác sự phổ biến của các dịch vụ chuyển đổi tệp tin miễn phí.

Văn phòng FBI tại Denver đã đưa ra cảnh báo về nguy cơ gia tăng của mã độc và đánh cắp dữ liệu từ các trang web như vậy. Điều này nhấn mạnh cách kẻ tấn công đang tận dụng nhu cầu hàng ngày của người dùng về các giải pháp tương thích định dạng nhanh chóng.

Cơ Chế Khai Thác Đa Giai Đoạn và Né Tránh Bảo Mật

JSCoreRunner hoạt động thông qua một quy trình triển khai hai giai đoạn được dàn dựng cẩn thận. Mục đích là để né tránh các biện pháp bảo vệ tích hợp của Apple.

Giai Đoạn 1: Lừa Đảo với FileRipple.pkg

Giai đoạn ban đầu liên quan đến một gói phần mềm có tên FileRipple.pkg. Gói này tạo ra một vỏ bọc thuyết phục bằng cách hiển thị một giao diện web giả mạo.

Giao diện này hiển thị bản xem trước công cụ PDF có vẻ hợp pháp trong khi các hoạt động độc hại âm thầm thực thi ở chế độ nền.

Mặc dù Apple đã thu hồi chứng chỉ nhà phát triển cho giai đoạn đầu tiên này, khiến macOS chặn gói khi khởi chạy, nhưng nguy hiểm thực sự nằm ở giai đoạn thứ hai.

Giai Đoạn 2: Vượt Qua Gatekeeper với Safari14.1.2MojaveAuto.pkg

Gói không có chữ ký số Safari14.1.2MojaveAuto.pkg bỏ qua các biện pháp bảo vệ mặc định của Gatekeeper. Nó làm điều này bằng cách tránh quy trình xác thực chữ ký tiêu chuẩn.

Điều này cho phép nó cài đặt mà không kích hoạt cảnh báo bảo mật. Khả năng né tránh Gatekeeper là một yếu tố quan trọng trong thành công của chiến dịch Mac malware này.

Chiếm Quyền Điều Khiển Trình Duyệt và Hoạt Động Ngầm

Một khi được cài đặt thành công trên hệ thống nạn nhân, JSCoreRunner thể hiện mục tiêu chính của nó: chiếm quyền điều khiển trình duyệt toàn diện, đặc biệt tập trung vào Google Chrome.

Mã độc này duyệt qua thư mục ~/Library/Application Support/Google/Chrome/ một cách có hệ thống. Mục đích là để xác định cả cấu hình người dùng mặc định và bổ sung.

Cuộc tấn công bao gồm việc tạo một đối tượng TemplateURL độc hại. Đối tượng này định nghĩa lại các cài đặt trình duyệt quan trọng, bao gồm URL tìm kiếm, URL tab mới và tên hiển thị.

Sự thao túng này hiệu quả trong việc chuyển hướng người dùng đến các công cụ tìm kiếm gian lận mà họ không hề hay biết. Điều này mở ra các con đường cho keylogging, chuyển hướng đến các trang web lừa đảo (phishing), và quảng bá kết quả tìm kiếm độc hại.

Để duy trì hoạt động ẩn danh, mã độc sử dụng các kỹ thuật bổ sung để che giấu sự hiện diện của mình. Điều này bao gồm việc truyền đối số cho Chrome để ngăn chặn nhật ký sự cố và vô hiệu hóa bong bóng thông báo “khôi phục phiên cuối cùng”.

Chỉ Báo Kỹ Thuật và Hạ Tầng Điều Khiển

Nhóm nghiên cứu bảo mật của Mosyle đã cung cấp các chỉ báo kỹ thuật toàn diện cho các chuyên gia an ninh mạng để xác định và giảm thiểu mối đe dọa Mac malware này. Tuy nhiên, các chỉ báo cụ thể (như hash file, địa chỉ C2) không được công bố chi tiết trong bản tin này.

Các mẫu mã độc bao gồm nhiều thành phần với các chữ ký hash riêng biệt. Chúng bao gồm từ trình cài đặt FileRipple.pkg ban đầu đến các payload JavaScript bị làm rối.

Hạ tầng command-and-control (C2) tuân theo các giao thức mã độc tiêu chuẩn. Payload đã cài đặt sẽ xác nhận việc cài đặt thành công với các máy chủ từ xa trước khi tiến hành các hoạt động thao túng trình duyệt của nó.

Mã độc cũng thể hiện kiến thức hệ thống tinh vi bằng cách xác định tài khoản người dùng thực tế và loại bỏ các thuộc tính cách ly khỏi các ứng dụng độc hại.

Để tìm hiểu thêm về phát hiện này, bạn có thể tham khảo báo cáo gốc: Mosyle Identifies New Mac Malware That Evades Detection Through Fake PDF Conversion Tool.

Xu Hướng Tấn Công Mac Đang Gia Tăng và Các Biện Pháp Phòng Ngừa

Sự phát hiện JSCoreRunner thể hiện một phần của xu hướng đáng lo ngại trong các chiến dịch Mac malware. Các nhà nghiên cứu bảo mật đã ghi nhận sự tinh vi ngày càng tăng trong các cuộc tấn công nhắm vào hệ thống Apple.

Phản Ánh Mối Đe Dọa Mạng Ngày Càng Tinh Vi

Các tác nhân đe dọa đang sử dụng các ngôn ngữ lập trình độc đáo và các kỹ thuật né tránh tiên tiến để vượt qua các phương pháp phát hiện truyền thống.

Việc khai thác các dịch vụ có vẻ hợp pháp như các công cụ chuyển đổi PDF phản ánh một sự thay đổi rộng hơn trong chiến thuật tội phạm mạng.

Các chiến dịch tương tự đã được ghi nhận sử dụng các trang web giả mạo sao chép các dịch vụ phổ biến. Chúng hoàn chỉnh với màn hình tải thực tế và xác minh CAPTCHA để tạo niềm tin cho người dùng trước khi triển khai payload độc hại.

Sự xuất hiện của JSCoreRunner nhấn mạnh tầm quan trọng của các phương pháp bảo mật đa tầng cho môi trường Mac. Đây là một ví dụ rõ ràng về một lỗ hổng zero-day được khai thác hiệu quả.

Giải Pháp Bảo Mật Đa Tầng và Khuyến Nghị An Toàn Thông Tin

Trong khi các biện pháp bảo vệ tích hợp của Apple như Gatekeeper và XProtect cung cấp bảo mật cơ bản, thành công của việc triển khai giai đoạn hai của Mac malware này cho thấy sự cần thiết của các biện pháp an ninh bổ sung.

Việc Mosyle phát hiện ra mối đe dọa lỗ hổng zero-day này làm nổi bật giá trị của các giải pháp bảo mật chuyên biệt cho Apple. Các giải pháp này có khả năng xác định các vectơ tấn công mới lạ.

Đội ngũ Nghiên cứu Bảo mật của công ty tiếp tục giám sát các mối đe dọa đang phát triển nhắm mục tiêu cụ thể vào môi trường Mac. Họ cung cấp thông tin tình báo quan trọng cho cộng đồng an ninh mạng rộng lớn hơn.

Các chuyên gia an ninh mạng nhấn mạnh một số biện pháp bảo vệ chính cho người dùng Mac:

• Tránh các kết quả tìm kiếm ngẫu nhiên cho các công cụ chuyển đổi tệp trực tuyến.
• Chỉ sử dụng các trang web chính thức và đã được xác minh cho các dịch vụ như vậy.
• Các tổ chức nên triển khai các giải pháp phát hiện điểm cuối toàn diện. Các giải pháp này phải có khả năng xác định các họ mã độc mới.
• Đối với quản trị viên hệ thống, các chữ ký hash được cung cấp cho phép chủ động chặn và phát hiện các thành phần của JSCoreRunner trên các môi trường Mac được quản lý.
• Đào tạo nhận thức bảo mật định kỳ nên nhấn mạnh các rủi ro liên quan đến các công cụ chuyển đổi trực tuyến miễn phí và tầm quan trọng của việc xác minh nguồn phần mềm trước khi cài đặt.

Chiến dịch JSCoreRunner là một lời nhắc nhở rõ ràng rằng người dùng Mac không còn có thể giả định miễn nhiễm với các cuộc tấn công Mac malware tinh vi. Đặc biệt là khi các tội phạm mạng tiếp tục phát triển các chiến thuật kỹ thuật xã hội ngày càng thông minh để khai thác các nhu cầu điện toán hàng ngày.