Tổng quan

Nhà nghiên cứu Jérôme Segura của Malwarebytes cho biết, có vẻ như Atomic Stealer đã được cập nhật vào khoảng giữa đến cuối tháng 12/2023, khi các nhà phát triển của phần mềm độc hại này giới thiệu khả năng mã hóa payload nhằm nỗ lực vượt qua các tập luật của các giải pháp bảo mật. Một số mẫu từ các trang web bẻ khóa đã được gửi đến VirusTotal trong khoảng thời gian này, sau đó là một chiến dịch quảng cáo độc hại mà Malwarebytes quan sát được vào tháng 01/2024.

Atomic Stealer xuất hiện lần đầu tiên vào tháng 4/2023 với mức phí đăng ký hàng tháng là 1.000 USD. Phần mềm độc hại này có khả năng thu thập thông tin nhạy cảm từ máy chủ bị xâm nhập, bao gồm mật khẩu Keychain, phiên cookie, tệp, ví tiền điện tử, siêu dữ liệu hệ thống và mật khẩu trên máy tính thông qua lời nhắc giả mạo.

Trong nhiều tháng qua, các nhà nghiên cứu cho biết Atomic Stealer đã được phân phối thông qua các trang web quảng cáo độc hại, đồng thời xâm nhập dưới vỏ bọc là các bản cập nhật trình duyệt web và phần mềm hợp pháp. Phân tích mới nhất của Malwarebytes cho thấy Atomic Stealer hiện đang được bán với giá thuê khổng lồ 3.000 USD/tháng, trong đó các tin tặc thực hiện chương trình khuyến mãi trùng với dịp Giáng sinh, cung cấp phần mềm độc hại với mức giá chiết khấu là 2.000 USD.

Phiên bản cập nhật tháng 12/2023

Vào tháng 12/2023, Atomic Stealer đã thực hiện chương trình giảm giá đăng ký mua phần mềm độc hại thông qua một bài đăng trên kênh Telegram để đưa ra mức giá đặc biệt trong lễ Giáng sinh đối với các khách hàng (Hình 1).

Hình 1. Thông báo trên Telegram về chương trình khuyến mãi với giá đăng ký sử dụng Atomic Stealer là 2.000 USD

Mặc dù, các nhà phát triển không quảng cáo các cụ thể tính năng cập nhật, nhưng có vẻ như vào khoảng ngày 17/12/2023, Atomic Stealer đã thay đổi một số mã của nó để ẩn một số chuỗi nhất định trước đây được sử dụng để phát hiện và xác định máy chủ điều khiểm và ra lệnh (C2) của phần mềm độc hại này.

Hình 2. Mẫu có các chuỗi ở dạng văn bản rõ hiển thị địa chỉ IP cho máy chủ C2 của phần mềm độc hại (ngày 12/12/2023).

Hình 3. Mẫu bị xáo trộn sử dụng quy trình mã hóa mới để ẩn một số chuỗi (ngày 17/12/2023).

Hai mẫu trên (Hình 2 và Hình 3) cũng đại diện cho các kênh phân phối khác nhau mà khách hàng của Atomic Stealer đang sử dụng để phát tán phần mềm độc hại. Có thể khách hàng sử dụng phần mềm bẻ khóa đã có quyền truy cập vào bản cập nhật Atomic Stealer trước những khách hàng sử dụng quảng cáo độc hại.

Trên thực tế, trong kỳ nghỉ lễ Giáng sinh, các nhà nghiên cứu nhận thấy hoạt động quảng cáo độc hại đã giảm, đặc biệt đối với các chiến dịch chạy qua quảng cáo tìm kiếm của Google. Điều này phần nào được mong đợi và thường kéo dài đến đầu tháng Giêng. Bên cạnh việc kết hợp mã hóa để ngăn chặn sự phát hiện của phần mềm bảo mật, các chiến dịch phân phối Atomic Stealer đã trải qua một sự thay đổi nhỏ, trong đó quảng cáo tìm kiếm của Google mạo danh Slack được sử dụng làm đường dẫn để triển khai Atomic Stealer hoặc trình tải phần mềm độc hại có tên EugenLoader (còn gọi là FakeBat) tùy thuộc vào hệ điều hành.

Cụ thể, vào ngày 08/01/2023, các nhà nghiên cứu đã xác định được một chiến dịch quảng cáo độc hại sử dụng các chiến thuật tương tự mà các tác nhân đe dọa phân phối FakeBat đã biết trước đây. Trong trường hợp này, cũng có một payload dành cho người dùng Mac và Atomic Stealer trong phiên bản cập nhật của nó.

Quảng cáo độc hại với FakeBat

Các tác nhân đe dọa đánh lừa nạn nhân tiềm năng thông qua quảng cáo tìm kiếm của Google mạo danh Slack (Hình 4), công cụ giao tiếp phổ biến và chuyển hướng họ đến một trang web giả mạo để có thể tải xuống ứng dụng cho cả Windows và Mac.

Hình 4. Trang web giả mạo Slack

Những kẻ tấn công tận dụng các mẫu theo dõi để lọc lưu lượng truy cập và định tuyến nó qua một số chuyển hướng trước khi tải trang đích (Hình 5).

Hình 5. Các đường dẫn độc hại

Trên một trong các tên miền đích độc hại, có một thư mục mở hiển thị vị trí của payload Windows là trình cài đặt MSI (FakeBat) và máy Mac (Hình 6).

Hình 6. Thư mục tải payload độc hại

Trình đánh cắp bị xáo trộn

Như trong Hình 6, một tệp DMG giả mạo sẽ chứa hướng dẫn người dùng mở tệp cũng như cửa sổ hộp thoại yêu cầu họ nhập mật khẩu hệ thống. Điều này sẽ cho phép Atomic Stealer thu thập mật khẩu và các tệp nhạy cảm khác thường bị hạn chế truy cập (Hình 7).

Hình 7. Hộp thoại yêu cầu người dùng nhập mật khẩu hệ thống

Khi so sánh các mẫu Atomic Stealer trước đây, các nhà nghiên cứu cho biết mã ứng dụng đã thay đổi. Trước đây, một số chuỗi nhất định thể hiện các thành phần của payload như trình duyệt, ví tiền điện tử,… và quan trọng hơn là máy chủ C2 nhận dữ liệu người dùng bị đánh cắp. Bây giờ, những chuỗi này không còn hiển thị nữa vì mã đã bị xáo trộn khá kỹ (Hình 8).

Hình 8. Mã bị xóa trộn

Khi phân tích mẫu này trong sandbox, các nhà nghiên cứu phát hiện quá trình lọc dữ liệu đang diễn ra với máy chủ C2 tương ứng (Hình 9).

Hình 9. Quá trình lọc dữ liệu với máy chủ C2

Kết luận

Vì trình đánh cắp thông tin tiếp tục là mối đe dọa hàng đầu đối với người dùng Mac nên điều quan trọng là phải tải xuống phần mềm từ các nguồn đáng tin cậy. Tuy nhiên, các quảng cáo độc hại và trang web mồi nhử có thể rất dễ gây hiểu lầm và chỉ cần một thao tác duy nhất (nhập mật khẩu) là phần mềm độc hại có thể thu thập và đánh cắp dữ liệu của người dùng. Để giữ bảo vệ an toàn trước Atomic Stealer và các mối đe dọa tương tự khác, sự kết hợp giữa bảo vệ web và các phần mềm chống virus là phù hợp nhất. Do đó, người dùng nên chủ động cập nhật thường xuyên các phiên bản mới nhất của phần mềm chống vi-rút hiện có.