Atomic macOS Stealer - Backdoor cho phép tin tặc truy cập từ xa tới máy nạn nhân

Atomic macOS Stealer (AMOS) - một trình đánh cắp dữ liệu nhắm mục tiêu tới người dùng macOS, vừa qua đã có một bước lớn trong quá trình tiến hoá từ một công cụ đánh cắp thông tin đơn thuần trở thành một mối đe doạ dai dẳng, tinh vi, với khả năng duy trì quyền truy cập lâu dài vào các hệ thống bị xâm nhập.

Cụ thể, trong một báo cáo được đăng tải trên chuyên trang Polyswarm của tác giả The Hivemind cho biết, AMOS đã phát triển một backdoor có khả năng tái khởi động theo hệ thống, cho phép truy cập từ xa, triển khai thêm các mã độc khác trên máy nạn nhân và dễ dàng vượt qua được các biện pháp phòng thủ trên các hệ thống macOS.

Theo thống kê mới nhất, các chiến dịch tấn công của AMOS đã ảnh hưởng đến hơn 120 quốc gia trên toàn thế giới, trong đó có Mỹ, Pháp, Italia, Anh và Canada là những khu vực chịu tác động lớn nhất bởi các cuộc tấn công của mã độc đánh cắp thông tin này. Phần mềm độc hại này chủ yếu được lây lan qua hai kênh chính:

1. Các trang web cung cấp phần mềm crack hoặc các phần mềm độc hại giả mạo.

2. Các chiến dịch spear-phishing tinh vi nhắm vào cá nhân. Đặc biệt là các cá nhân nắm giữ tiền điện tử, các cá nhân nổi và các freelancer.

Một trong những kịch bản phổ biến để lây lan AMOS là các cuộc tấn công giả dạng quá trình phỏng vấn việc làm, đánh lừa nạn nhân cài đặt các tệp .DMG có chứa mã độc, sau đó yêu cầu người dùng đăng nhập mật khẩu hệ thống với lý do "kích hoạt phần mềm chia sẻ màn hình". Một khi tệp tin được thực thi, AMOS được triển khai và tiến hành đánh cắp các dữ liệu nhạy cảm của nạn nhân như mật khẩu trình duyệt, cụm từ khởi tạo ví (seed phrase) của tiền điện tử, đồng thời triển khai backdoor để duy trì quyền truy cập tới hệ thống. Ngoài ra, các chuyên gia bảo mật cũng cảnh báo, một keylogger có thể đang được phát triển cùng với AMOS, giúp gia tăng triệt để khả năng đánh cắp thông tin của loại mã độc này.

Cũng trong báo cáo của The Hivemind, để tồn tại lâu hơn trên hệ thống nạn nhân, AMOS đã triển khai một loạt các cơ chế tinh vi như sau:

1. Cài đặt .helper, lưu dưới dạng tệp ẩn trong thư mục home của người dùng và triển khai script bao bọc tên .agent để đảm bảo backdoor chạy liên tục.

2. Tạo LanchDaemon có nhãn com.finder.helper được cài đặt thông qua AppleScript nhằm đảm bảo backdoor được khởi động cùng hệ thống.

3. Thiết lập liên lạc tới máy chủ C2 thông qua các request HTTP POST mỗi 60 giây.

4. Sử dụng kỹ thuật string obfuscation làm rối chuỗi ký tự, đồng thời sử dụng system_profiler để kiểm tra môi trường sandbox, ảo hoá để đảm bảo tránh bị phát hiện.

Khuyến nghị & Khắc phục

Hệ quả đối với người dùng macOS là rất nghiêm trọng, vì AMOS đã vượt xa giới hạn của các công cụ đánh cắp thông tin truyền thống, gây nguy cơ bị xâm nhập kéo dài. Khi AMOS tiếp tục phát triển, việc người dùng nhận thức sớm và triển khai các giải pháp bảo vệ đầu cuối tiên tiến là yếu tố then chốt để bảo vệ hệ thống macOS trước mối đe dọa dai dẳng và ngày càng gia tăng này.

Một số biện pháp người dùng có thể thực hiện nhằm ngăn chặn và giảm thiểu nguy cơ mất an toàn thông tin trước loại mã độc này:

1. Sử dụng các phần mềm từ nhà cung cấp uy tín, có kiểm chứng: Chỉ tải phần mềm từ App Store hoặc trang chính thức, tránh phần mềm bẻ khóa hoặc link lạ.

2. Không mở file, liên kết từ email hoặc tin nhắn lạ, nhất là khi có yêu cầu nhập mật khẩu máy.

3. Cập nhật phần mềm, bản vá bảo mật thường xuyên: Luôn cập nhật macOS và ứng dụng để vá lỗi bảo mật.

4. Sử dụng các biện pháp bảo mật: Cài phần mềm diệt virus cho macOS, thường xuyên rà quét hệ thống.

IOCs

Tham khảo

1. Atomic Stealer Evolves