MinhSec
Writer
Một chiến dịch tấn công mạng mới nhắm vào người dùng Mac đang khiến giới bảo mật lo ngại khi lợi dụng chính thao tác của người dùng để vượt qua các lớp phòng vệ của hệ điều hành macOS.
Theo cảnh báo từ nhóm nghiên cứu của Microsoft tin tặc đang sử dụng thủ đoạn mang tên ClickFix để phát tán mã độc đánh cắp dữ liệu trên máy Mac thông qua các bài hướng dẫn giả mạo đăng trên những nền tảng quen thuộc như Medium Craft và Squarespace
Điểm nguy hiểm của chiến dịch này nằm ở chỗ người dùng tự tay thực hiện lệnh độc hại mà không hề hay biết.
Thay vì yêu cầu tải ứng dụng, các trang web này đưa ra một đoạn lệnh Terminal và hướng dẫn người dùng sao chép rồi dán trực tiếp vào máy Mac với lời quảng cáo đây là “công cụ sửa lỗi hệ thống”.
Ngay sau khi lệnh được chạy, thiết bị sẽ âm thầm tải xuống các phần mềm đánh cắp dữ liệu như:
Sau đó, mã độc tiếp tục hiển thị hộp thoại yêu cầu nhập mật khẩu quản trị với lý do “cài đặt công cụ hỗ trợ”. Nếu người dùng nhập mật khẩu, tin tặc có thể giành quyền truy cập sâu vào máy tính.
Mã độc có khả năng thu thập:
Microsoft cũng cho biết nhóm tấn công đang sử dụng các công cụ có sẵn trong macOS như curl và osascript để thực hiện kiểu tấn công “không cần tệp” (fileless attack). Phương pháp này giúp mã độc hoạt động trực tiếp trong bộ nhớ, khiến phần mềm chống virus thông thường khó phát hiện hơn nhiều.
Đáng chú ý, các nhà nghiên cứu còn phát hiện mã độc có cơ chế tự tắt nếu phát hiện bàn phím tiếng Nga, dấu hiệu thường thấy trong nhiều chiến dịch tấn công mạng xuất phát từ khu vực Đông Âu.
Để đối phó, Apple đã bổ sung tính năng bảo mật mới trên macOS 26.4. Hệ thống giờ đây có thể hiển thị cảnh báo “Có thể là phần mềm độc hại, Chặn dán” khi người dùng dán những lệnh đáng ngờ vào Terminal.
Các chuyên gia khuyến cáo người dùng không nên sao chép và chạy các lệnh Terminal từ blog, video hoặc diễn đàn không rõ nguồn gốc. Nếu cần sửa lỗi hệ thống, nên ưu tiên tài liệu chính thức từ Apple hoặc các nguồn uy tín để tránh trở thành nạn nhân của những chiến dịch lừa đảo ngày càng tinh vi này.
Theo cảnh báo từ nhóm nghiên cứu của Microsoft tin tặc đang sử dụng thủ đoạn mang tên ClickFix để phát tán mã độc đánh cắp dữ liệu trên máy Mac thông qua các bài hướng dẫn giả mạo đăng trên những nền tảng quen thuộc như Medium Craft và Squarespace
Điểm nguy hiểm của chiến dịch này nằm ở chỗ người dùng tự tay thực hiện lệnh độc hại mà không hề hay biết.
Thủ đoạn “sửa lỗi” giả để phát tán mã độc
Theo Microsoft, chiến dịch bắt đầu xuất hiện từ cuối năm 2025 và tiếp tục lan rộng trong năm 2026. Tin tặc tạo ra các bài viết giả mạo hướng dẫn sửa lỗi MacBook như giải phóng dung lượng ổ cứng, tăng tốc hệ thống hoặc xử lý lỗi phần mềm.
Thay vì yêu cầu tải ứng dụng, các trang web này đưa ra một đoạn lệnh Terminal và hướng dẫn người dùng sao chép rồi dán trực tiếp vào máy Mac với lời quảng cáo đây là “công cụ sửa lỗi hệ thống”.
Ngay sau khi lệnh được chạy, thiết bị sẽ âm thầm tải xuống các phần mềm đánh cắp dữ liệu như:
- Atomic macOS Stealer
- SHub Stealer
- Macsync
Sau đó, mã độc tiếp tục hiển thị hộp thoại yêu cầu nhập mật khẩu quản trị với lý do “cài đặt công cụ hỗ trợ”. Nếu người dùng nhập mật khẩu, tin tặc có thể giành quyền truy cập sâu vào máy tính.
Nhắm tới ví tiền điện tử và tài khoản cá nhân
Theo báo cáo, mục tiêu chính của chiến dịch là đánh cắp dữ liệu cá nhân và tài sản số.Mã độc có khả năng thu thập:
- Tài khoản iCloud và Telegram
- Mật khẩu lưu trong Chrome và Firefox
- Ảnh, ghi chú và tài liệu cá nhân
- Khóa ví tiền điện tử như Exodus, Ledger và Trezor
Microsoft cũng cho biết nhóm tấn công đang sử dụng các công cụ có sẵn trong macOS như curl và osascript để thực hiện kiểu tấn công “không cần tệp” (fileless attack). Phương pháp này giúp mã độc hoạt động trực tiếp trong bộ nhớ, khiến phần mềm chống virus thông thường khó phát hiện hơn nhiều.
Đáng chú ý, các nhà nghiên cứu còn phát hiện mã độc có cơ chế tự tắt nếu phát hiện bàn phím tiếng Nga, dấu hiệu thường thấy trong nhiều chiến dịch tấn công mạng xuất phát từ khu vực Đông Âu.
Để đối phó, Apple đã bổ sung tính năng bảo mật mới trên macOS 26.4. Hệ thống giờ đây có thể hiển thị cảnh báo “Có thể là phần mềm độc hại, Chặn dán” khi người dùng dán những lệnh đáng ngờ vào Terminal.
Các chuyên gia khuyến cáo người dùng không nên sao chép và chạy các lệnh Terminal từ blog, video hoặc diễn đàn không rõ nguồn gốc. Nếu cần sửa lỗi hệ thống, nên ưu tiên tài liệu chính thức từ Apple hoặc các nguồn uy tín để tránh trở thành nạn nhân của những chiến dịch lừa đảo ngày càng tinh vi này.
Nguồn: hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
