MinhSec
Writer
Một chiến dịch tấn công mạng mới đang khiến giới chuyên gia an ninh mạng lo ngại khi phần mềm độc hại Amos Stealer tiếp tục nhắm mục tiêu vào người dùng máy tính Mac của Apple nhằm đánh cắp dữ liệu cá nhân và thông tin đăng nhập quan trọng.
Theo báo cáo từ công ty nghiên cứu an ninh mạng CyberProof, các tin tặc đang tích cực phát tán Amos Stealer thông qua những phần mềm giả mạo, các trang web lừa đảo và các chiến dịch đánh lừa người dùng trên mạng xã hội. Mục tiêu của chúng là thu thập thông tin nhạy cảm để phục vụ các hoạt động kiếm lợi bất chính.
Sau khi xâm nhập thành công vào hệ thống macOS, Amos Stealer sẽ tìm kiếm các dữ liệu có giá trị trên thiết bị. Phần mềm độc hại này có khả năng đánh cắp mật khẩu đã lưu, cookie phiên đăng nhập và dữ liệu tự động điền từ các trình duyệt phổ biến như Google Chrome và Microsoft Edge.
Những kẻ tấn công sử dụng các tham số đặc biệt giúp ẩn toàn bộ quá trình tải xuống, không hiển thị cảnh báo lỗi hay thanh tiến trình. Sau khi hoàn tất, tập lệnh độc hại sẽ tự động kích hoạt AppleScript thông qua trình shell zsh để bắt đầu thu thập dữ liệu trên máy nạn nhân.
Theo CyberProof, Amos Stealer vẫn là một trong những dòng phần mềm đánh cắp thông tin hoạt động mạnh nhất hiện nay dành riêng cho môi trường macOS.
Quá trình điều tra cho thấy phần mềm độc hại còn sao chép cơ sở dữ liệu Keychain của macOS nhằm lấy thông tin đăng nhập được lưu trữ trên hệ thống. Ngoài ra, nó còn tìm kiếm nhiều tập tin cấu hình quan trọng của nhà phát triển như .ssh, .kube, .gitconfig và .zshrc, vốn có thể chứa khóa truy cập hoặc thông tin xác thực nhạy cảm.
Sau khi thu thập dữ liệu, Amos Stealer sử dụng công cụ ditto của macOS để nén toàn bộ thông tin đánh cắp thành một tập tin lưu trữ. Dữ liệu tiếp tục được chia thành nhiều phần nhỏ trước khi được gửi đến máy chủ do tin tặc kiểm soát.
Để tăng khả năng thành công, phần mềm độc hại có thể tự động thử tải lên lại nhiều lần nếu kết nối thất bại. Sau khi hoàn tất việc đánh cắp dữ liệu, nó thực hiện các lệnh xóa tập tin tạm nhằm che giấu dấu vết và gây khó khăn cho quá trình điều tra.
Các chuyên gia cảnh báo rằng những cuộc tấn công kiểu này có thể dẫn đến rò rỉ dữ liệu doanh nghiệp, mất tài khoản trực tuyến và thiệt hại tài chính đáng kể. CyberProof khuyến nghị các tổ chức nên áp dụng chính sách bảo mật nghiêm ngặt trên macOS, đồng thời giám sát các hoạt động bất thường liên quan đến lệnh curl và các công cụ hệ thống để phát hiện sớm nguy cơ xâm nhập.
Theo báo cáo từ công ty nghiên cứu an ninh mạng CyberProof, các tin tặc đang tích cực phát tán Amos Stealer thông qua những phần mềm giả mạo, các trang web lừa đảo và các chiến dịch đánh lừa người dùng trên mạng xã hội. Mục tiêu của chúng là thu thập thông tin nhạy cảm để phục vụ các hoạt động kiếm lợi bất chính.
Sau khi xâm nhập thành công vào hệ thống macOS, Amos Stealer sẽ tìm kiếm các dữ liệu có giá trị trên thiết bị. Phần mềm độc hại này có khả năng đánh cắp mật khẩu đã lưu, cookie phiên đăng nhập và dữ liệu tự động điền từ các trình duyệt phổ biến như Google Chrome và Microsoft Edge.
Lợi dụng công cụ có sẵn trên macOS để âm thầm đánh cắp dữ liệu
Điểm đáng chú ý là Amos Stealer tận dụng chính các công cụ hợp pháp có sẵn trên macOS để thực hiện hành vi tấn công. Các nhà nghiên cứu cho biết phần mềm độc hại sử dụng tiện ích dòng lệnh curl để tải xuống các tập tin độc hại mà gần như không để lại dấu hiệu bất thường cho người dùng.Những kẻ tấn công sử dụng các tham số đặc biệt giúp ẩn toàn bộ quá trình tải xuống, không hiển thị cảnh báo lỗi hay thanh tiến trình. Sau khi hoàn tất, tập lệnh độc hại sẽ tự động kích hoạt AppleScript thông qua trình shell zsh để bắt đầu thu thập dữ liệu trên máy nạn nhân.
Theo CyberProof, Amos Stealer vẫn là một trong những dòng phần mềm đánh cắp thông tin hoạt động mạnh nhất hiện nay dành riêng cho môi trường macOS.
Quá trình điều tra cho thấy phần mềm độc hại còn sao chép cơ sở dữ liệu Keychain của macOS nhằm lấy thông tin đăng nhập được lưu trữ trên hệ thống. Ngoài ra, nó còn tìm kiếm nhiều tập tin cấu hình quan trọng của nhà phát triển như .ssh, .kube, .gitconfig và .zshrc, vốn có thể chứa khóa truy cập hoặc thông tin xác thực nhạy cảm.
Sau khi thu thập dữ liệu, Amos Stealer sử dụng công cụ ditto của macOS để nén toàn bộ thông tin đánh cắp thành một tập tin lưu trữ. Dữ liệu tiếp tục được chia thành nhiều phần nhỏ trước khi được gửi đến máy chủ do tin tặc kiểm soát.
Để tăng khả năng thành công, phần mềm độc hại có thể tự động thử tải lên lại nhiều lần nếu kết nối thất bại. Sau khi hoàn tất việc đánh cắp dữ liệu, nó thực hiện các lệnh xóa tập tin tạm nhằm che giấu dấu vết và gây khó khăn cho quá trình điều tra.
Các chuyên gia cảnh báo rằng những cuộc tấn công kiểu này có thể dẫn đến rò rỉ dữ liệu doanh nghiệp, mất tài khoản trực tuyến và thiệt hại tài chính đáng kể. CyberProof khuyến nghị các tổ chức nên áp dụng chính sách bảo mật nghiêm ngặt trên macOS, đồng thời giám sát các hoạt động bất thường liên quan đến lệnh curl và các công cụ hệ thống để phát hiện sớm nguy cơ xâm nhập.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
