Nội dung bài viết
Phát hiện này nhấn mạnh nỗ lực ngày càng tăng đối với những kẻ đánh cắp thông tin trên máy Mac.
Các nhà nghiên cứu đã tìm thấy một phần mềm độc hại macOS chưa từng thấy trước đây, kết hợp một loạt thủ thuật thông minh để lây nhiễm vào máy Mac bằng mã đánh cắp thông tin xác thực được phát triển tùy chỉnh, lén lút. Phần mềm độc hại được phân phối theo hai giai đoạn.
Cái đầu tiên được phân phối dưới dạng ảnh đĩa giả dạng Maccy, một trình quản lý clipboard cho máy Mac. Nó được biên dịch dưới dạng AppleScript, điều đáng chú ý là cách nó cung cấp giai đoạn thứ hai.
Phần mềm độc hại được đặt tên là PamStealer vì kẻ đánh cắp thông tin do Rust viết sử dụng giao diện Mô-đun xác thực có thể cắm được tích hợp trong macOS để xác thực mật khẩu đăng nhập của mục tiêu trước khi gửi nó đến máy chủ do kẻ tấn công kiểm soát.
Việc sử dụng cả disk image và AppleScript là phổ biến trong phần mềm độc hại dành cho máy Mac. Điều bất thường hơn là cách PamStealer kết hợp chúng để đạt được khả năng tàng hình.
Khi nhấp đúp vào AppleScript, nó sẽ mở trong macOS Script Editor, nơi chức năng độc hại ẩn sâu trong tệp. “Thay vì dựa vào các lệnh shell như Curl hoặc zsh, AppleScript thực thi trình tải xuống JavaScript for Automation (JXA) độc lập để truy xuất và xử lý tải trọng bằng cách sử dụng nat.
ive API Objective-C,” các nhà nghiên cứu từ Jamf, một công ty bảo mật dành cho người dùng macOS, đã viết.
“Kết hợp với giai đoạn thứ hai dựa trên Rust và quy trình lấy mật khẩu để xác thực thông tin xác thực cục bộ thông qua PAM, kết quả là một chuỗi thực thi yên tĩnh hơn những gì chúng tôi thường thấy ở những kẻ đánh cắp macOS thông thường.” Khi người dùng muốn cài đặt trình quản lý clipboard đáng tin cậy, gặp ảnh đĩa, họ sẽ được nhắc nhấn Command-R ngay sau khi nhấp đúp vào ảnh đĩa đó.
Lệnh này thực thi trực tiếp mã độc bên trong AppleScript. Nó cũng cho phép việc thực thi bỏ qua com.apple.quarantine, một thuộc tính macOS cung cấp các cảnh báo và hạn chế khi các tệp thực thi được tải xuống từ Internet.
PamStealer kết hợp bề mặt phân phối mới nổi gần đây với tải trọng ít quen thuộc hơn.
Trong khi mồi nhử .scpt và Script Editor có thể nhấp được xây dựng trên nền tảng thương mại đã được áp dụng trong bối cảnh mối đe dọa macOS, phần mềm độc hại này tự phân biệt thông qua trình nhỏ giọt JXA độc lập, giai đoạn thứ hai dựa trên Rust và quy trình chụp mật khẩu xác thực thông tin xác thực cục bộ thông qua PAM trước khi thu thập chúng.
Giai đoạn thứ hai đó đặt nỗ lực đáng kể vào việc ở lại bị ẩn, giả dạng Finder, mã hóa lưu lượng lệnh và kiểm soát của nó và giữ lại các lời nhắc như yêu cầu Truy cập toàn bộ ổ đĩa trong tối đa 40 phút để hoạt động của nó không trùng với thời điểm khởi chạy.
Cùng với nhau, những hành vi này minh họa cách những kẻ đánh cắp macOS hàng hóa tiếp tục phát triển, áp dụng chuỗi thực thi yên tĩnh hơn và triển khai gốc nhằm giảm cơ hội phát hiện truyền thống trong khi vẫn tương thích với các tính năng tiêu chuẩn của macOS.
Giai đoạn đầu tiên đặt tải trọng của nó vào trong gói ứng dụng mạo danh các thành phần thực được tích hợp trong macOS. Thành phần thay đổi từ mẫu này sang mẫu khác của phần mềm độc hại.
Finder.app trong com.apple.finder.core hoặc com.apple.finder.monitor và Software Update.app trong com.apple.security.daemon là hai ví dụ. Trong cả hai trường hợp, chúng đều chạy ẩn.
Họ cũng hiển thị Finder.icns chính hãng của macOS làm biểu tượng của nó. Giai đoạn thứ hai là tệp Mach-O gọn gàng được viết cho máy Mac chạy trên CPU Apple.
Lựa chọn viết nó bằng Rust của kẻ tấn công là tương đối hiếm gặp đối với những kẻ đánh cắp thông tin trên macOS. Phổ biến hơn là các ngôn ngữ như Swift, Go và Objective-C.
Tệp nhị phân này gọi giao diện đọc của ứng dụng SQLite đi kèm. Điều này cho phép kẻ đánh cắp thông tin đọc dữ liệu tập tin cơ sở trực tiếp.
PamStealer hiển thị lời nhắc mật khẩu gốc được thiết kế giống với yêu cầu ủy quyền hệ thống. Văn bản xuất hiện cùng với lời nhắc cho biết: "Maccy muốn thực hiện thay đổi.
Nhập mật khẩu của bạn để cho phép điều này." Như đã lưu ý trước đó, khi mục tiêu tuân thủ, phần mềm độc hại sẽ xác thực mục tiêu đó cục bộ thông qua API PAM.
Jamf cho biết: “Việc kiểm tra này được thực hiện hoàn toàn thông qua PAM: không có lệnh gọi tới dscl, security, osascript hoặc bất kỳ quy trình sinh ra nào để xác minh mật khẩu, như nhiều kẻ đánh cắp macOS hàng hóa vẫn làm”.
“Kết quả là một quy trình yên tĩnh hơn, chỉ giữ lại mật khẩu đã được xác minh và ít chuỗi quy trình hơn để những người bảo vệ phát hiện.” Nếu quá trình xác thực không thành công, PamStealer sẽ hiển thị lại lời nhắc cho đến khi nhận được lời nhắc chính xác.
Sau khi mục tiêu nhập đúng mật khẩu, PamStealer sẽ hiển thị thông báo cho biết tệp bị hỏng và không thể cài đặt được. Nó được thiết kế như một mồi nhử để ngăn chặn mục tiêu nghi ngờ bất cứ điều gì không ổn.
Phần mềm độc hại sử dụng các chiến thuật để tối đa hóa thông tin mà nó có thể đánh cắp. Một chiến thuật là yêu cầu mục tiêu cấp toàn bộ quyền truy cập vào ứng dụng Maccy giả mạo.
Nó cũng chứa mã được thiết kế để truy cập tài khoản ethereum. Các kỹ thuật khác nhau – đặc biệt là Công cụ thu hút Script Editor, công cụ nhỏ giọt JXA độc lập, giai đoạn thứ hai dựa trên Rust và xác thực cục bộ thông tin xác thực thông qua PAM đều đáng chú ý.
Jamf cho biết: “Cùng với nhau, những hành vi này minh họa cách những kẻ đánh cắp macOS hàng hóa tiếp tục phát triển, áp dụng chuỗi thực thi yên tĩnh hơn và triển khai gốc nhằm giảm cơ hội phát hiện truyền thống trong khi vẫn tương thích với các tính năng macOS tiêu chuẩn”.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.