Duy Linh
Writer
Một biến thể mới của phần mềm đánh cắp dữ liệu SHub trên macOS mang tên “Reaper” đang khiến giới nghiên cứu an ninh mạng đặc biệt chú ý khi được nâng cấp mạnh về khả năng ẩn mình, đánh cắp thông tin và duy trì quyền truy cập lâu dài trên thiết bị nạn nhân. Đáng chú ý, mã độc này còn giả dạng các bản cập nhật hợp pháp của Google nhằm qua mặt người dùng.
Reaper tiếp tục sử dụng các trình cài đặt ứng dụng giả mạo quen thuộc của SHub, chủ yếu ngụy trang thành những bản tải xuống WeChat và Miro. Tuy nhiên, chuỗi tấn công lần này được thiết kế tinh vi hơn khi liên tục thay đổi lớp vỏ ngụy trang ở từng giai đoạn để tránh bị phát hiện.
Ban đầu, nạn nhân có thể bị chuyển hướng tới các tên miền giả mạo do lỗi đánh máy như Microsoft[.]co[.]com. Sau đó, hệ thống sẽ hiển thị một chương trình được giới thiệu như bản cập nhật bảo mật của Apple nhằm đánh lừa người dùng thực thi mã độc.
Khác với các kỹ thuật “ClickFix” truyền thống yêu cầu người dùng nhập lệnh thủ công trong Terminal, Reaper khai thác lược đồ URL applescript:// để tự động mở Script Editor trên macOS cùng đoạn AppleScript đã được nhúng mã độc.
Theo các nhà nghiên cứu tại SentinelOne, xu hướng này cho thấy malware nhắm vào macOS đang chuyển sang các kỹ thuật tấn công phức tạp hơn, kết hợp thực thi không cần tệp tin cùng nhiều lớp ngụy trang để né tránh công cụ bảo mật.
Phần mã hiển thị trong Script Editor được che phủ bằng văn bản và hình ảnh ASCII vô hại nhằm che giấu nội dung độc hại thật sự. Khi người dùng chạy tập lệnh, một thông báo cập nhật XProtect giả sẽ xuất hiện, trong lúc nền hệ thống âm thầm giải mã lệnh Base64 để tải xuống và thực thi shell script từ xa thông qua curl và zsh.
Reaper còn tích hợp cơ chế kiểm tra khu vực địa lý nhằm tránh lây nhiễm vào một số hệ thống nhất định. Malware sẽ kiểm tra cài đặt nhập liệu trên macOS và tự động thoát nếu phát hiện dấu hiệu ngôn ngữ tiếng Nga, đồng thời gửi tín hiệu “cis_blocked” về máy chủ điều khiển C2.
Mã nguồn HTML hiển thị quá trình xây dựng đoạn mã AppleScript độc hại (Nguồn: SentinelOne).
Các website mồi nhử trong chiến dịch cũng tiến hành thu thập dấu vân tay thiết bị rất chi tiết trước khi phát tán mã độc. Những dữ liệu bị kiểm tra gồm địa chỉ IP, vị trí địa lý, dấu vân tay WebGL, dấu hiệu sử dụng VPN hoặc máy ảo, cũng như danh sách tiện ích mở rộng trên trình duyệt, đặc biệt là trình quản lý mật khẩu và ví tiền điện tử.
Thu thập dấu vân tay thiết bị của người truy cập trang web để tìm bằng chứng về máy ảo và VPN (Nguồn: SentinelOne).
Thông tin thu thập được sau đó bị đánh cắp thông qua bot Telegram. Ngoài ra, các website này còn triển khai nhiều kỹ thuật chống phân tích như vô hiệu hóa công cụ dành cho nhà phát triển, ghi đè chức năng console và tạo các vòng lặp debug vô hạn nhằm gây khó khăn cho chuyên gia bảo mật.
Reaper nhắm tới hàng loạt ứng dụng phổ biến trên macOS, bao gồm các trình duyệt như Chrome, Safari, Firefox, Edge, Brave, Opera, Vivaldi, Arc và Orion. Malware cũng tìm cách đánh cắp dữ liệu từ các ví tiền điện tử như Exodus, Atomic, Ledger Live, Electrum và Trezor Suite, đồng thời thu thập dữ liệu phiên đăng nhập Telegram.
Một tính năng mới đáng chú ý là mô-đun Filegrabber theo phong cách AMOS. Thành phần này quét các thư mục Desktop và Documents để tìm những tệp quan trọng như .docx, .xlsx, .json, .wallet và .rdp, đồng thời lưu trữ tạm thời tối đa 150MB dữ liệu.
Trình xử lý AppleScript Filegrabber tương tự như trình xử lý được sử dụng bởi AMOS Atomic và các phần mềm đánh cắp thông tin macOS khác (Nguồn: SentinelOne).
Nếu dung lượng dữ liệu vượt quá giới hạn, malware sẽ tự động chia nhỏ thành các gói 70MB để gửi dần qua HTTP nhằm giảm nguy cơ bị phát hiện.
Không dừng ở việc đánh cắp thông tin, Reaper còn chủ động can thiệp vào ví tiền điện tử bằng cách thay thế các tệp ứng dụng cốt lõi như app.asar bằng phiên bản chứa mã độc tải từ máy chủ C2.
Để vượt qua Gatekeeper của macOS, malware sử dụng lệnh xattr -cr kết hợp ký mã ad hoc nhằm cho phép các thành phần độc hại tiếp tục hoạt động mà không bị hệ thống ngăn chặn.
Một trong những thay đổi nguy hiểm nhất của Reaper là cơ chế duy trì quyền truy cập lâu dài. Malware tạo thư mục giả mạo hệ thống cập nhật Google tại:
~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/
Sau đó, nó thả tệp độc hại GoogleUpdate và đăng ký LaunchAgent com.google.keystone.agent.plist. Thành phần này sẽ tự động chạy sau mỗi 60 giây để gửi tín hiệu tới máy chủ C2.
Nếu nhận được lệnh phản hồi từ máy chủ, malware có thể thực thi mã từ xa theo thời gian thực, biến thiết bị bị nhiễm thành một cửa hậu hoạt động liên tục và cho phép kẻ tấn công duy trì quyền kiểm soát lâu dài.
Các chuyên gia nhận định việc Reaper tận dụng các công cụ hợp pháp có sẵn trên macOS như AppleScript và Script Editor giúp nó dễ dàng né tránh những hệ thống phát hiện dựa trên tệp tin như XProtect. Vì vậy, việc giám sát hành vi bất thường trở nên đặc biệt quan trọng.
Những dấu hiệu đáng nghi cần theo dõi gồm hoạt động bất thường của osascript hoặc Script Editor, các kết nối mạng lạ xuất hiện sau khi thực thi tập lệnh, việc tạo LaunchAgent dưới tên nhà cung cấp đáng tin cậy và các thay đổi trái phép trong tệp ứng dụng ví tiền điện tử.
Sự xuất hiện của Reaper cho thấy malware trên macOS đang phát triển nhanh chóng, không còn đơn thuần là công cụ đánh cắp dữ liệu mà đã trở thành những mối đe dọa dai dẳng, đa chức năng và khó phát hiện hơn nhiều.
Reaper tiếp tục sử dụng các trình cài đặt ứng dụng giả mạo quen thuộc của SHub, chủ yếu ngụy trang thành những bản tải xuống WeChat và Miro. Tuy nhiên, chuỗi tấn công lần này được thiết kế tinh vi hơn khi liên tục thay đổi lớp vỏ ngụy trang ở từng giai đoạn để tránh bị phát hiện.
Ban đầu, nạn nhân có thể bị chuyển hướng tới các tên miền giả mạo do lỗi đánh máy như Microsoft[.]co[.]com. Sau đó, hệ thống sẽ hiển thị một chương trình được giới thiệu như bản cập nhật bảo mật của Apple nhằm đánh lừa người dùng thực thi mã độc.
Khác với các kỹ thuật “ClickFix” truyền thống yêu cầu người dùng nhập lệnh thủ công trong Terminal, Reaper khai thác lược đồ URL applescript:// để tự động mở Script Editor trên macOS cùng đoạn AppleScript đã được nhúng mã độc.
Theo các nhà nghiên cứu tại SentinelOne, xu hướng này cho thấy malware nhắm vào macOS đang chuyển sang các kỹ thuật tấn công phức tạp hơn, kết hợp thực thi không cần tệp tin cùng nhiều lớp ngụy trang để né tránh công cụ bảo mật.
Phần mã hiển thị trong Script Editor được che phủ bằng văn bản và hình ảnh ASCII vô hại nhằm che giấu nội dung độc hại thật sự. Khi người dùng chạy tập lệnh, một thông báo cập nhật XProtect giả sẽ xuất hiện, trong lúc nền hệ thống âm thầm giải mã lệnh Base64 để tải xuống và thực thi shell script từ xa thông qua curl và zsh.
Reaper còn tích hợp cơ chế kiểm tra khu vực địa lý nhằm tránh lây nhiễm vào một số hệ thống nhất định. Malware sẽ kiểm tra cài đặt nhập liệu trên macOS và tự động thoát nếu phát hiện dấu hiệu ngôn ngữ tiếng Nga, đồng thời gửi tín hiệu “cis_blocked” về máy chủ điều khiển C2.
Mã nguồn HTML hiển thị quá trình xây dựng đoạn mã AppleScript độc hại (Nguồn: SentinelOne).
Các website mồi nhử trong chiến dịch cũng tiến hành thu thập dấu vân tay thiết bị rất chi tiết trước khi phát tán mã độc. Những dữ liệu bị kiểm tra gồm địa chỉ IP, vị trí địa lý, dấu vân tay WebGL, dấu hiệu sử dụng VPN hoặc máy ảo, cũng như danh sách tiện ích mở rộng trên trình duyệt, đặc biệt là trình quản lý mật khẩu và ví tiền điện tử.
Thu thập dấu vân tay thiết bị của người truy cập trang web để tìm bằng chứng về máy ảo và VPN (Nguồn: SentinelOne).
Thông tin thu thập được sau đó bị đánh cắp thông qua bot Telegram. Ngoài ra, các website này còn triển khai nhiều kỹ thuật chống phân tích như vô hiệu hóa công cụ dành cho nhà phát triển, ghi đè chức năng console và tạo các vòng lặp debug vô hạn nhằm gây khó khăn cho chuyên gia bảo mật.
Mã độc Reaper nhắm vào ví tiền điện tử và tạo cửa hậu lâu dài
Sau khi được kích hoạt, AppleScript sẽ hiển thị yêu cầu nhập mật khẩu macOS giống hệt thông báo hệ thống hợp pháp. Thông tin đăng nhập này sau đó bị sử dụng để truy cập dữ liệu nhạy cảm như Keychain và các thông tin lưu trữ trong trình duyệt.Reaper nhắm tới hàng loạt ứng dụng phổ biến trên macOS, bao gồm các trình duyệt như Chrome, Safari, Firefox, Edge, Brave, Opera, Vivaldi, Arc và Orion. Malware cũng tìm cách đánh cắp dữ liệu từ các ví tiền điện tử như Exodus, Atomic, Ledger Live, Electrum và Trezor Suite, đồng thời thu thập dữ liệu phiên đăng nhập Telegram.
Một tính năng mới đáng chú ý là mô-đun Filegrabber theo phong cách AMOS. Thành phần này quét các thư mục Desktop và Documents để tìm những tệp quan trọng như .docx, .xlsx, .json, .wallet và .rdp, đồng thời lưu trữ tạm thời tối đa 150MB dữ liệu.
Trình xử lý AppleScript Filegrabber tương tự như trình xử lý được sử dụng bởi AMOS Atomic và các phần mềm đánh cắp thông tin macOS khác (Nguồn: SentinelOne).
Nếu dung lượng dữ liệu vượt quá giới hạn, malware sẽ tự động chia nhỏ thành các gói 70MB để gửi dần qua HTTP nhằm giảm nguy cơ bị phát hiện.
Không dừng ở việc đánh cắp thông tin, Reaper còn chủ động can thiệp vào ví tiền điện tử bằng cách thay thế các tệp ứng dụng cốt lõi như app.asar bằng phiên bản chứa mã độc tải từ máy chủ C2.
Để vượt qua Gatekeeper của macOS, malware sử dụng lệnh xattr -cr kết hợp ký mã ad hoc nhằm cho phép các thành phần độc hại tiếp tục hoạt động mà không bị hệ thống ngăn chặn.
Một trong những thay đổi nguy hiểm nhất của Reaper là cơ chế duy trì quyền truy cập lâu dài. Malware tạo thư mục giả mạo hệ thống cập nhật Google tại:
~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/
Sau đó, nó thả tệp độc hại GoogleUpdate và đăng ký LaunchAgent com.google.keystone.agent.plist. Thành phần này sẽ tự động chạy sau mỗi 60 giây để gửi tín hiệu tới máy chủ C2.
Nếu nhận được lệnh phản hồi từ máy chủ, malware có thể thực thi mã từ xa theo thời gian thực, biến thiết bị bị nhiễm thành một cửa hậu hoạt động liên tục và cho phép kẻ tấn công duy trì quyền kiểm soát lâu dài.
Các chuyên gia nhận định việc Reaper tận dụng các công cụ hợp pháp có sẵn trên macOS như AppleScript và Script Editor giúp nó dễ dàng né tránh những hệ thống phát hiện dựa trên tệp tin như XProtect. Vì vậy, việc giám sát hành vi bất thường trở nên đặc biệt quan trọng.
Những dấu hiệu đáng nghi cần theo dõi gồm hoạt động bất thường của osascript hoặc Script Editor, các kết nối mạng lạ xuất hiện sau khi thực thi tập lệnh, việc tạo LaunchAgent dưới tên nhà cung cấp đáng tin cậy và các thay đổi trái phép trong tệp ứng dụng ví tiền điện tử.
Sự xuất hiện của Reaper cho thấy malware trên macOS đang phát triển nhanh chóng, không còn đơn thuần là công cụ đánh cắp dữ liệu mà đã trở thành những mối đe dọa dai dẳng, đa chức năng và khó phát hiện hơn nhiều.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
