MinhSec
Writer
Người dùng macOS đang đối mặt với một mối đe dọa mạng mới đặc biệt nguy hiểm mang tên Reaper biến thể mới của dòng malware SHub có khả năng vượt qua các cơ chế bảo vệ mới nhất của Apple để đánh cắp mật khẩu, ví tiền điện tử và âm thầm cài cửa hậu vĩnh viễn trên máy Mac.
Theo các nhà nghiên cứu của SentinelOne, Reaper đã vượt qua cả bản vá bảo mật trong macOS Tahoe 26.4 bản cập nhật được Apple phát hành nhằm ngăn chặn các kiểu tấn công tương tự trước đó. Điều này khiến malware trở thành một trong những mối đe dọa đáng lo ngại nhất với người dùng Mac hiện nay.
Khi nạn nhân truy cập trang web, mã JavaScript ẩn sẽ kiểm tra vị trí địa lý, phần mềm bảo mật và cấu hình hệ thống trước khi tiếp tục cuộc tấn công. Nếu thiết bị nằm ngoài khu vực Nga hoặc CIS, malware sẽ dụ người dùng mở Script Editor công cụ hợp pháp trên macOS thông qua một liên kết độc hại.
Các lệnh nguy hiểm được che giấu bằng khoảng trắng và ký tự ASCII để người dùng gần như không thể nhìn thấy trong cửa sổ Script Editor. Khi nhấn “Run”, một thông báo giả mạo hiện lên giống hệt bản cập nhật bảo mật chính thức của Apple cho XProtectRemediator. Nhưng thay vì cập nhật hệ thống, malware bắt đầu tải mã độc từ internet bằng công cụ curl.
Sau khi xâm nhập thành công, Reaper yêu cầu người dùng nhập mật khẩu đăng nhập macOS thông qua hộp thoại AppleScript giả mạo. Nếu lấy được mật khẩu, malware sẽ giải mã và đánh cắp dữ liệu từ nhiều trình duyệt phổ biến như Chrome, Firefox, Edge, Brave và Opera. Ngoài ra, nó còn nhắm tới trình quản lý mật khẩu 1Password, ví crypto MetaMask cùng các tài liệu tài chính và file cá nhân lưu trên máy.
Nó tạo các thư mục và LaunchAgent trông giống dịch vụ Google Update thật, sau đó âm thầm kết nối với máy chủ điều khiển của hacker mỗi 60 giây để nhận lệnh mới. Điều này cho phép kẻ tấn công tiếp tục cài thêm malware, đánh cắp dữ liệu hoặc điều khiển máy từ xa trong thời gian dài mà người dùng khó phát hiện.
Theo SentinelOne, Reaper cho thấy malware trên macOS đang phát triển theo hướng nguy hiểm hơn nhiều so với trước đây. Thay vì chỉ là công cụ đánh cắp thông tin đơn giản, các chiến dịch hiện nay được thiết kế như những hệ thống gián điệp hoàn chỉnh với khả năng bám trụ lâu dài và ngụy trang cực kỳ tinh vi.
Các chuyên gia khuyến cáo người dùng macOS không nên mở Script Editor từ các liên kết web lạ, chỉ tải phần mềm từ nguồn chính thức và đặc biệt cảnh giác với những thông báo yêu cầu “cập nhật bảo mật thủ công”. Vụ việc cũng là lời nhắc rằng máy Mac không còn là “vùng an toàn tuyệt đối” trước các cuộc tấn công mạng hiện đại, đặc biệt khi hacker ngày càng tập trung vào dữ liệu cá nhân và tài sản tiền điện tử.
Theo các nhà nghiên cứu của SentinelOne, Reaper đã vượt qua cả bản vá bảo mật trong macOS Tahoe 26.4 bản cập nhật được Apple phát hành nhằm ngăn chặn các kiểu tấn công tương tự trước đó. Điều này khiến malware trở thành một trong những mối đe dọa đáng lo ngại nhất với người dùng Mac hiện nay.
Giả mạo cập nhật Apple để chiếm quyền máy Mac
Cuộc tấn công bắt đầu bằng các trang tải xuống giả mạo dành cho ứng dụng phổ biến như WeChat hoặc Miro. Để tăng độ tin cậy, hacker sử dụng tên miền giả gần giống hạ tầng của Microsoft nhằm đánh lừa người dùng rằng đây là nguồn tải hợp pháp.Khi nạn nhân truy cập trang web, mã JavaScript ẩn sẽ kiểm tra vị trí địa lý, phần mềm bảo mật và cấu hình hệ thống trước khi tiếp tục cuộc tấn công. Nếu thiết bị nằm ngoài khu vực Nga hoặc CIS, malware sẽ dụ người dùng mở Script Editor công cụ hợp pháp trên macOS thông qua một liên kết độc hại.
Các lệnh nguy hiểm được che giấu bằng khoảng trắng và ký tự ASCII để người dùng gần như không thể nhìn thấy trong cửa sổ Script Editor. Khi nhấn “Run”, một thông báo giả mạo hiện lên giống hệt bản cập nhật bảo mật chính thức của Apple cho XProtectRemediator. Nhưng thay vì cập nhật hệ thống, malware bắt đầu tải mã độc từ internet bằng công cụ curl.
Sau khi xâm nhập thành công, Reaper yêu cầu người dùng nhập mật khẩu đăng nhập macOS thông qua hộp thoại AppleScript giả mạo. Nếu lấy được mật khẩu, malware sẽ giải mã và đánh cắp dữ liệu từ nhiều trình duyệt phổ biến như Chrome, Firefox, Edge, Brave và Opera. Ngoài ra, nó còn nhắm tới trình quản lý mật khẩu 1Password, ví crypto MetaMask cùng các tài liệu tài chính và file cá nhân lưu trên máy.
Cửa hậu bí mật khiến malware nguy hiểm hơn nhiều
Điều đáng lo ngại nhất là Reaper không chỉ đánh cắp dữ liệu rồi biến mất. Malware này còn tạo một cửa hậu tồn tại lâu dài bằng cách giả mạo hệ thống cập nhật hợp pháp của Google.Nó tạo các thư mục và LaunchAgent trông giống dịch vụ Google Update thật, sau đó âm thầm kết nối với máy chủ điều khiển của hacker mỗi 60 giây để nhận lệnh mới. Điều này cho phép kẻ tấn công tiếp tục cài thêm malware, đánh cắp dữ liệu hoặc điều khiển máy từ xa trong thời gian dài mà người dùng khó phát hiện.
Theo SentinelOne, Reaper cho thấy malware trên macOS đang phát triển theo hướng nguy hiểm hơn nhiều so với trước đây. Thay vì chỉ là công cụ đánh cắp thông tin đơn giản, các chiến dịch hiện nay được thiết kế như những hệ thống gián điệp hoàn chỉnh với khả năng bám trụ lâu dài và ngụy trang cực kỳ tinh vi.
Các chuyên gia khuyến cáo người dùng macOS không nên mở Script Editor từ các liên kết web lạ, chỉ tải phần mềm từ nguồn chính thức và đặc biệt cảnh giác với những thông báo yêu cầu “cập nhật bảo mật thủ công”. Vụ việc cũng là lời nhắc rằng máy Mac không còn là “vùng an toàn tuyệt đối” trước các cuộc tấn công mạng hiện đại, đặc biệt khi hacker ngày càng tập trung vào dữ liệu cá nhân và tài sản tiền điện tử.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
