Reaper: Malware đánh cắp mật khẩu và ví tiền điện tử trên macOS, giả mạo Apple, Microsoft và Google

Reaper: Malware đánh cắp mật khẩu và ví tiền điện tử trên macOS, giả mạo Apple, Microsoft và Google

Các nhà nghiên cứu bảo mật vừa phát hiện một biến thể nguy hiểm của phần mềm đánh cắp dữ liệu SHub, được đặt tên là Reaper. Theo Phil Stokes, kỹ sư nghiên cứu tại SentinelOne, phần mềm độc hại này sử dụng một kỹ thuật tinh vi để vượt qua các cơ chế phòng thủ mới nhất của Apple trên macOS.

Khác với các phiên bản trước hoặc các chiến dịch tương tự thường dựa vào kỹ thuật xã hội "ClickFix" để lừa người dùng dán lệnh vào Terminal, Reaper bỏ qua hoàn toàn bước này. Thay vào đó, nó tận dụng ứng dụng Script Editor có sẵn trên macOS để thực thi mã độc, qua đó lách qua các biện pháp bảo vệ mà Apple đã thêm vào phiên bản Tahoe 26.4.

Chiến thuật tấn công giả mạo

Cuộc tấn công thường bắt đầu từ các trang web giả mạo bộ cài đặt của WeChat và Miro. Những trang này được lưu trữ trên các tên miền được thiết kế để gây nhầm lẫn, chẳng hạn như mlcrosoft[.]co[.]com - một dạng typo-squatting (giả mạo tên miền bằng cách đánh sai chính tả) của Microsoft.

Khi người dùng truy cập vào các trang này, một đoạn JavaScript ẩn sẽ thu thập lượng lớn thông tin về hệ thống và trình duyệt, bao gồm địa chỉ IP, vị trí địa lý, dữ liệu nhận dạng WebGL và các chỉ báo về máy ảo hoặc VPN. Đáng chú ý, cuộc tấn công sẽ dừng lại nếu phát hiện nạn nhân đang ở Nga.

Cách thức hoạt động của Reaper

Nếu máy tính không nằm ở khu vực bị chặn và người dùng nhấp vào trình cài đặt giả, một liên kết tinh vi sẽ mở ứng dụng Script Editor của Apple. Cửa sổ này được "nhồi" các ký tự ASCII art và các thuật ngữ giả để đẩy lệnh độc hại xuống dưới phần nhìn thấy được của cửa sổ.

Khi nạn nhân nhấp vào nút "Run" (Chạy), lệnh ẩn sẽ thực thi AppleScript độc hại và hiển thị một thông báo bật lên giả vờ là bản cập nhật bảo mật cho công cụ XProtectRemediator của Apple. Tuy nhiên, thay vì cập nhật bảo mật, nó thực thi lệnh curl để tải xuống một shell script một cách âm thầm.

Sau đó, nó yêu cầu nạn nhân nhập thông tin đăng nhập của họ. Những thông tin này sẽ bị lấy cắp để giải mã các thông tin xác thực khác. Cuối cùng, nó hiển thị một thông báo lỗi giả để che giấu hành động của mình.

Khả năng đánh cắp và cài cửa sau

Reaper kế thừa khả năng của các phiên bản SHub trước đó, đánh cắp dữ liệu trình duyệt, ví tiền điện tử (như MetaMask và Phantom), tệp cấu hình của nhà phát triển, macOS Keychain, dữ liệu tài khoản iCloud và phiên làm việc của Telegram.

Hơn thế nữa, nó còn tích hợp một công cụ lấy tệp (filegrabber) tìm kiếm các tài liệu chứa thông tin tài chính hoặc kinh doanh trong thư mục Desktop và Documents của người dùng, tương tự như chức năng thấy trong Atomic macOS Stealer (AMOS). Nó cũng nhắm đến các công cụ tiền điện tử trên máy tính như Exodus, Atomic Wallet, Ledger Wallet, Ledger Live và Trezor Suite. Nếu tìm thấy, nó sẽ tiêm mã độc vào ví để đảm bảo việc đánh cắp tiền tiếp diễn.

Để đảm bảo sự tồn tại lâu dài trên hệ thống, Reaper cài đặt một cửa sau (backdoor) bằng cách tạo cấu trúc thư mục giả mạo công cụ cập nhật của Google: ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/.

Stokes giải thích: "LaunchAgent sẽ thực thi tập lệnh mục tiêu GoogleUpdate mỗi 60 giây. Tập lệnh này hoạt động như một tín hiệu (beacon), gửi chi tiết hệ thống đến điểm cuối /api/bot/heartbeat của máy chủ điều khiển (C2)."

Điều này cho phép kẻ tấn công thực thi mã từ xa trên máy tính đã bị nhiễm. Nếu máy chủ do kẻ tấn công kiểm soát gửi một payload "code", tập lệnh sẽ giải mã nó, ghi vào một tệp ẩn và thực thi mã với quyền của người dùng trước khi xóa tệp đó đi.

Cửa sau này cung cấp cho các tác nhân phần mềm độc hại "nhiều cách hơn để đánh cắp dữ liệu hoặc chuyển sang các cài đặt độc hại khác sau khi xâm nhập ban đầu", chuyên gia săn lùng mối đe dọa này cảnh báo.