"Bẫy trojan" giăng sẵn trên macOS: Chiến dịch mã độc và đánh cắp hệ thống từ bên trong

[WhiteHat Team]

Các chuyên gia bảo mật vừa cảnh báo: Hacker đang lợi dụng các công cụ Mac hợp pháp để phát tán trojan nguy hiểm macOS.ZuRu, ngụy trang trong những ứng dụng phổ biến được tải về nhằm lừa người dùng cài đặt phần mềm nhiễm mã độc.

​

Trojan ngụy trang trong ứng dụng SSH nổi tiếng: Termius​

Trong chiến dịch gần đây, nhóm tấn công đã chèn trojan ZuRu vào bộ cài của Termius, một ứng dụng SSH đa nền tảng được sử dụng phổ biến để quản lý máy chủ từ xa.

Trojan macOS.ZuRu sau khi được cài đặt sẽ hoạt động ngầm, duy trì quyền truy cập trái phép, đồng thời có thể tải về thêm thành phần độc hại và thực thi lệnh từ xa từ máy chủ của hacker.

Được phát hiện lần đầu ở Trung Quốc vào tháng 7/2021 thông qua kết quả tìm kiếm Baidu, trojan này từng được dùng để lây nhiễm các công cụ phổ biến dành cho nhà phát triển macOS như SecureCRT, Navicat và Microsoft Remote Desktop for Mac.

Biến thể mới tinh vi hơn và đánh lừa người dùng hiệu quả​

Từ năm ngoái, các ứng dụng lậu đã bắt đầu chứa biến thể ZuRu mới với khả năng điều khiển từ xa mạnh hơn và vượt qua các biện pháp bảo vệ truyền thống của macOS.

Biến thể mới nhất của macOS.ZuRu tiếp tục xu hướng giả mạo các ứng dụng macOS hợp pháp, đặc biệt là những công cụ phổ biến trong cộng đồng lập trình viên và chuyên viên IT. Nhóm tấn công sử dụng kỹ thuật thay thế chữ ký mã số (code signature) gốc của nhà phát triển bằng chữ ký tạm thời do chúng tạo ra, nhằm qua mặt hệ thống xác thực của Apple và cài mã độc vào ứng dụng mà người dùng không hề hay biết.

Chiến dịch nhắm vào hệ thống không có giải pháp bảo vệ đầu cuối, tập trung vào người dùng macOS mới nhất​

Theo phân tích của các chuyên gia, chiến dịch phát tán trojan macOS.ZuRu chủ yếu nhắm đến các hệ thống macOS không được trang bị đầy đủ các giải pháp bảo vệ endpoint (endpoint protection). Mã độc được phân phối thông qua file cài đặt dạng .dmg, chứa phiên bản đã bị trojan hóa của ứng dụng hợp pháp Termius.app, công cụ quản lý máy chủ SSH phổ biến.

So với bản chính hãng (~225MB), bản trojan hóa có dung lượng lớn hơn (~248MB) do được nhúng thêm payload độc hại. Sau khi người dùng chạy file .dmg, trojan tự động kích hoạt trình loader đồng thời với ứng dụng Termius gốc, nhằm duy trì tính ẩn mình và tránh bị nghi ngờ từ phía nạn nhân.

Biến thể mới của ZuRu đặc biệt tương thích với các hệ thống macOS hiện đại, yêu cầu phiên bản Sonoma 14.1 (phát hành tháng 10/2023) trở lên để thực thi. Sau khi thiết lập thành công, malware có khả năng duy trì kết nối C2 (command-and-control) ổn định, và thực hiện nhiều hành vi xâm nhập như:

• Rò rỉ và trích xuất dữ liệu cùng với khả năng truyền tải tập tin từ hệ thống bị xâm nhập
• Thu thập thông tin hệ thống
• Thao túng tiến trình hệ thống
• Cho phép thực thi lệnh từ xa và ghi lại kết quả trả về từ hệ thống bị xâm nhập

Trojan sử dụng Khepri, một beacon mã nguồn mở làm nền tảng cho cơ chế điều khiển và liên lạc từ xa với máy chủ C2. Trong các chiến dịch gần đây, nhóm tấn công đã sử dụng các tên miền độc hại như:

• termius[.]fun
• termius[.]info

​

Chuyên gia WhiteHat: Cảnh giác với ứng dụng macOS chứa mã độc ZuRu
Trước nguy cơ ngày càng gia tăng từ các chiến dịch phát tán mã độc ẩn trong ứng dụng hợp pháp dành cho macOS, điển hình là trojan macOS.ZuRu, các chuyên gia WhiteHat khuyến cáo:

1. Lưu ý cho người dùng cá nhân và doanh nghiệp:​

Tuyệt đối không tải phần mềm từ nguồn không rõ ràng

• Không truy cập hoặc tải ứng dụng từ các website không chính thức, đặc biệt là các trang web sử dụng tên miền giả mạo như termius[.]fun hoặc termius[.]info.
• Hạn chế tải phần mềm từ kết quả tìm kiếm quảng cáo, nhất là từ các công cụ tìm kiếm ít phổ biến.

Chỉ cài đặt ứng dụng từ App Store hoặc website chính hãng

• Luôn tải phần mềm từ Mac App Store hoặc trang web chính thức của nhà phát triển để đảm bảo tính toàn vẹn và an toàn của gói cài đặt.
• Tránh sử dụng bản crack, bản lậu hoặc các bản chia sẻ không rõ nguồn gốc.

Kiểm tra chữ ký mã số (code signature) của ứng dụng trước khi cài đặt

• Với người dùng nâng cao, nên sử dụng công cụ codesign hoặc spctl để kiểm tra xem ứng dụng có được ký bởi nhà phát triển hợp pháp hay không.
• Bất kỳ ứng dụng nào bị thay đổi chữ ký mã hoặc có chữ ký "Ad Hoc" đều là dấu hiệu đáng nghi.

Cài đặt phần mềm bảo vệ đầu cuối (endpoint protection) uy tín

• Sử dụng các giải pháp bảo mật chuyên biệt dành cho macOS từ những nhà cung cấp uy tín như ESET, Bitdefender, CrowdStrike, SentinelOne,...
• Ưu tiên phần mềm có tính năng phát hiện hành vi và kiểm soát truy cập ứng dụng.

Cập nhật macOS và phần mềm bảo mật thường xuyên

• Luôn cập nhật hệ điều hành macOS lên phiên bản mới nhất để nhận các bản vá bảo mật từ Apple.
• Bật tự động cập nhật cho phần mềm diệt virus và các ứng dụng bảo mật liên quan.

2. Lưu ý cho người dùng phổ thông:​

Nếu bạn đã từng tải ứng dụng từ các nguồn không rõ ràng hoặc gần đây có cài phần mềm quản lý máy chủ như Termius từ trang ngoài App Store, hãy:

• Gỡ cài đặt ngay lập tức, đặc biệt nếu ứng dụng có dấu hiệu bất thường (khởi động chậm, hệ thống hoạt động bất thường...).
• Quét toàn bộ hệ thống bằng phần mềm diệt virus cập nhật mới nhất.
• Liên hệ với chuyên gia an ninh mạng hoặc đội ngũ IT nội bộ nếu sử dụng máy tính trong môi trường doanh nghiệp.

Việc giả mạo công cụ hợp pháp cùng với khả năng tương thích cao và cơ chế ẩn mình tinh vi khiến ZuRu trở thành một trong những mối đe dọa đáng lo ngại nhất đối với người dùng macOS, đặc biệt là các nhà phát triển và chuyên gia CNTT làm việc trong môi trường thiếu giải pháp phòng thủ tiên tiến.

Theo Cyber News​