Phần mềm độc hại Atomic macOS Stealer

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại mới tận dụng chiến thuật kỹ thuật xã hội lừa đảo được gọi là ClickFix để phân phối Atomic macOS Stealer (AMOS), một phần mềm độc hại đánh cắp thông tin được thiết kế để xâm phạm hệ thống macOS của Apple.

Chiến thuật Typosquat: Mạo danh Spectrum

Những kẻ tấn công đằng sau chiến dịch này sử dụng các tên miền typosquat bắt chước nhà cung cấp dịch vụ viễn thông Spectrum có trụ sở tại Hoa Kỳ, sử dụng các trang web gian lận như panel-spectrum.net và spectrum-ticket.net để dụ những người dùng không nghi ngờ. Các tên miền trông giống nhau này được tạo ra để có vẻ hợp pháp, tăng khả năng tin tưởng và tương tác của người dùng.

Shell Script độc hại: Tải trọng ẩn

Bất kỳ người dùng macOS nào truy cập vào các trang web giả mạo này đều được cung cấp một tập lệnh shell độc hại. Tập lệnh này nhắc nhở nạn nhân nhập mật khẩu hệ thống của họ và tiến hành đánh cắp thông tin đăng nhập, bỏ qua các biện pháp kiểm soát bảo mật macOS và cài đặt một biến thể của phần mềm độc hại AMOS để khai thác thêm. Các lệnh macOS gốc được sử dụng để tối đa hóa hiệu quả của tập lệnh trong khi vẫn duy trì tính bảo mật thấp.

Dấu vết nguồn gốc: Nhận xét về mã ngôn ngữ Nga

Bằng chứng cho thấy tội phạm mạng nói tiếng Nga có thể đứng sau chiến dịch này. Các nhà nghiên cứu đã tìm thấy các bình luận bằng tiếng Nga được nhúng trong mã nguồn của phần mềm độc hại, chỉ ra nguồn gốc địa lý và ngôn ngữ có thể có của những kẻ đe dọa.

CAPTCHA Lừa đảo: Mồi nhử ClickFix

Cuộc tấn công bắt đầu bằng một thông báo xác minh hCaptcha giả mạo tự nhận là đang kiểm tra bảo mật kết nối của người dùng. Sau khi nhấp vào hộp kiểm 'Tôi là người', người dùng sẽ thấy một thông báo lỗi giả mạo: 'Xác minh CAPTCHA không thành công'. Sau đó, họ được nhắc tiến hành "Xác minh thay thế".

Hành động này sao chép lệnh độc hại vào clipboard và hiển thị hướng dẫn dựa trên hệ điều hành của người dùng. Trên macOS, nạn nhân được hướng dẫn dán và chạy lệnh trong ứng dụng Terminal, bắt đầu tải xuống AMOS.

Thực hiện cẩu thả: Manh mối trong mã

Mặc dù mục đích nguy hiểm của chiến dịch, các nhà nghiên cứu đã lưu ý sự không nhất quán trong cơ sở hạ tầng tấn công. Các lỗi logic và lập trình kém đã được quan sát thấy trong các trang phân phối, chẳng hạn như:

• Các lệnh PowerShell đang được sao chép cho người dùng Linux.
• Hướng dẫn dành riêng cho Windows được hiển thị cho cả người dùng Windows và Mac.
• Giao diện không khớp giữa hệ điều hành hiển thị và hướng dẫn.

• Những lỗi này cho thấy cơ sở hạ tầng tấn công được xây dựng vội vàng hoặc bảo trì kém.

Sự trỗi dậy của ClickFix: Một vectơ đe dọa đang mở rộng

Sự phát triển này là một phần của xu hướng ngày càng tăng trong việc sử dụng chiến thuật ClickFix trong nhiều chiến dịch phần mềm độc hại trong năm qua. Các tác nhân đe dọa liên tục sử dụng các kỹ thuật, công cụ và quy trình (TTP) tương tự nhau để truy cập ban đầu, phổ biến nhất là:

• Lừa đảo qua mạng
• Tải xuống tự động
• Các liên kết độc hại được chia sẻ qua các nền tảng đáng tin cậy như GitHub

Sửa lỗi giả, thiệt hại thực sự: Kỹ thuật xã hội ở mức tồi tệ nhất

Nạn nhân bị lừa tin rằng họ đang giải quyết một vấn đề kỹ thuật lành tính. Trên thực tế, họ đang thực hiện các lệnh có hại cài đặt phần mềm độc hại. Hình thức kỹ thuật xã hội này cực kỳ hiệu quả trong việc bỏ qua nhận thức của người dùng và các cơ chế bảo mật tiêu chuẩn.

Tác động ngày càng tăng: Sự lan tỏa toàn cầu và tải trọng đa dạng

Các chiến dịch ClickFix đã được phát hiện trên khắp các môi trường khách hàng tại Hoa Kỳ, Châu Âu, Trung Đông và Châu Phi (EMEA). Các cuộc tấn công này ngày càng đa dạng, không chỉ cung cấp những kẻ đánh cắp như AMOS mà còn cả trojan và ransomware. Mặc dù các tải trọng có thể khác nhau, nhưng phương pháp cốt lõi vẫn nhất quán: thao túng hành vi của người dùng để xâm phạm bảo mật.

Kết luận: Cần phải cảnh giác

Chiến dịch này nhấn mạnh tầm quan trọng của việc liên tục cảnh giác, giáo dục người dùng và kiểm soát bảo mật chặt chẽ. Khi các chiến thuật kỹ thuật xã hội như ClickFix phát triển, các tổ chức và cá nhân đều phải luôn cập nhật thông tin và chuẩn bị để nhận biết và ngăn chặn các mối đe dọa lừa đảo như vậy.