Tin tặc Triều Tiên triển khai kỹ thuật ClickFix và AppleScript trong các cuộc tấn công macOS mới

Tin tặc Triều Tiên đã triển khai các kỹ thuật xã hội học và né tránh đa dạng trong các cuộc tấn công mới được phát hiện gần đây, nhắm mục tiêu cụ thể vào người dùng macOS thuộc các tổ chức tài chính.

Tin tặc Triều Tiên nhắm vào người dùng macOS

Chiến dịch ClickFix qua Telegram

Một chiến dịch được Any.Run phát hiện đã dựa vào kỹ thuật lừa đảo nổi tiếng mang tên ClickFix để đánh lừa người dùng macOS cài đặt mã độc đánh cắp thông tin.

Các hacker tiến hành tấn công thông qua ứng dụng Telegram, nhắm vào các lãnh đạo doanh nghiệp. Chúng thường sử dụng các tài khoản đã bị hack của người quen nạn nhân để gửi lời mời tham dự cuộc họp giả.

Nạn nhân bị dẫn hướng đến các trang web giả mạo Zoom, Microsoft Teams hoặc Google Meet. Tại đây, họ sẽ nhận được thông báo yêu cầu "sửa chữa" lỗi kết nối giả bằng cách sao chép và thực thi một lệnh trong ứng dụng Terminal.

Giao diện Terminal trên macOS

Hành động này dẫn đến việc thực thi các tệp nhị phân Mach-O dựa trên ngôn ngữ Go. Đây là một phần của bộ công cụ mã độc có tên Mach-O Man, được thiết kế để thu thập thông tin đăng nhập, bí mật hệ thống như các mục Keychain và phiên trình duyệt. Dữ liệu bị đánh cắp sau đó được truyền đi qua Telegram.

Sử dụng AppleScript để lẩn tránh

Một chiến dịch khác, do Microsoft quy cho nhóm hacker Sapphire Sleet (một nhóm hoạt động từ năm 2020 và được nhà nước bảo trợ), đã sử dụng AppleScript để thực thi mã và né tránh sự phát hiện, nhưng dẫn đến kết quả tương tự là đánh cắp dữ liệu nhạy cảm.

Trong chiến dịch này, các hacker sử dụng các hồ sơ tuyển dụng giả trên các nền tảng trực tuyến để trò chuyện với nạn nhân và mời họ tham gia phỏng vấn kỹ thuật.

Trong quá trình phỏng vấn giả, nạn nhân được yêu cầu cài đặt phần mềm độc hại được ngụy trang dưới dạng công cụ hội thảo truyền hình hoặc bản cập nhật bộ công cụ phát triển phần mềm (SDK).

Khác với kỹ thuật ClickFix phụ thuộc vào việc nạn nhân tự sao chép lệnh, chiến dịch này yêu cầu nạn nhân tải xuống một tệp. Tệp này là một AppleScript đã được biên dịch, sẽ tự động mở trong Script Editor của macOS để thực thi các lệnh shell nhúng.

Mục tiêu và thiệt hại

Là một phần của chuỗi lây nhiễm phức tạp, nhiều tải trọng AppleScript sẽ được thực thi, cuối cùng dẫn đến việc triển khai các backdoor (cửa sau). Cuộc tấn công cũng tập trung vào việc duy trì sự tồn tại mã độc trên hệ thống và thăng đặc quyền.

Các tải trọng được triển khai được thiết kế để thực hiện trinh sát hệ thống, liệt kê các ứng dụng đã cài đặt và thu thập dữ liệu Telegram, hồ sơ trình duyệt cùng cơ sở dữ liệu liên quan, cơ sở dữ liệu Keychain, ví tiền điện tử, khóa SSH, lịch sử lệnh shell, cơ sở dữ liệu Apple Notes và nhật ký hệ thống.

Các chuyên gia bảo mật khuyến cáo người dùng macOS, đặc biệt là trong lĩnh vực tài chính và tiền điện tử, cần cảnh giác cao độ với các lời mời kết nối lạ và tránh thực thi các lệnh không rõ nguồn gốc từ Terminal.