Theo Cryptopolitan vào ngày 11 tháng 5, nhóm nghiên cứu bảo mật của Microsoft Defender đã công bố kết quả điều tra, phát hiện kẻ tấn công từ cuối năm 2025 đã đăng các hướng dẫn khắc phục lỗi giả mạo macOS trên các nền tảng như Medium và Craft, nhằm dụ người dùng thực thi lệnh độc hại trong Terminal để từ đó cài đặt phần mềm độc hại nhằm đánh cắp khóa ví tiền mã hóa, dữ liệu iCloud và mật khẩu đã lưu trong trình duyệt.
Cơ chế tấn công: ClickFix vượt qua macOS Gatekeeper
Theo báo cáo của nhóm nghiên cứu bảo mật Microsoft Defender, kẻ tấn công sử dụng kỹ thuật lừa đảo xã hội có tên ClickFix: đăng các hướng dẫn khắc phục lỗi macOS được ngụy trang như “giải phóng dung lượng đĩa” hoặc “sửa lỗi hệ thống” trên các nền tảng như Medium, Craft và Squarespace, nhằm hướng dẫn người dùng sao chép lệnh độc hại và dán vào macOS Terminal; sau khi lệnh được thực thi, phần mềm độc hại sẽ tự động tải xuống và khởi động.
Theo báo cáo của Microsoft, thủ pháp này vượt qua cơ chế bảo mật macOS Gatekeeper vì Gatekeeper áp dụng xác thực chữ ký mã và quy trình công chứng đối với các ứng dụng được mở thông qua Finder, nhưng cách người dùng trực tiếp chạy lệnh trong Terminal không bị ràng buộc bởi bước xác thực này. Các nhà nghiên cứu cũng phát hiện kẻ tấn công dùng curl, osascript và các công cụ gốc khác của macOS để thực thi mã độc trực tiếp trong bộ nhớ (tấn công không cần tệp), khiến các công cụ chống virus tiêu chuẩn khó phát hiện.
Họ phần mềm độc hại, phạm vi đánh cắp và cơ chế đặc biệt
Theo báo cáo của Microsoft, hoạt động tấn công này liên quan đến ba họ phần mềm độc hại (AMOS, Macsync, SHub Stealer) và ba loại trình cài đặt (Loader, Script, Helper), nhắm vào các dữ liệu mục tiêu sau:
Khóa ví tiền mã hóa: Exodus, Ledger, Trezor
Thông tin xác thực tài khoản: iCloud, Telegram
Mật khẩu lưu trên trình duyệt: Chrome, Firefox
Tệp và ảnh cá nhân: tệp cục bộ nhỏ hơn 2 MB
Sau khi cài đặt, phần mềm độc hại sẽ hiển thị hộp thoại giả mạo, yêu cầu người dùng nhập mật khẩu hệ thống để cài đặt “công cụ hỗ trợ”; nếu người dùng nhập mật khẩu, kẻ tấn công sẽ có quyền truy cập đầy đủ vào tệp và cấu hình hệ thống. Microsoft cũng cho biết, trong một số trường hợp, kẻ tấn công xóa các ứng dụng hợp pháp như Trezor Suite, Ledger Wallet và Exodus, rồi thay thế bằng các phiên bản cài mã Trojan để giám sát giao dịch và đánh cắp tiền. Ngoài ra, các chương trình được tải bởi phần mềm độc hại còn bao gồm công tắc dừng: nếu phát hiện bố cục bàn phím tiếng Nga, phần mềm độc hại sẽ tự động ngừng thực thi.
Hoạt động tấn công liên quan và biện pháp phòng vệ của Apple
Theo điều tra của các chuyên gia bảo mật ANY.RUN, Lazarus Group đã phát động chiến dịch tin tặc mang tên “Mach-O Man”, sử dụng kỹ thuật tương tự ClickFix, thông qua việc giả mạo lời mời họp để nhắm vào các công ty fintech và tiền mã hóa có macOS là hệ điều hành chính.
Cryptopolitan cũng đưa tin rằng, tổ chức tin tặc Triều Tiên Famous Chollima sử dụng AI để tạo mã, cấy gói npm độc hại vào các dự án giao dịch tiền mã hóa; phần mềm độc hại này áp dụng kiến trúc che giấu hai lớp, nhằm đánh cắp dữ liệu ví và thông tin mật của hệ thống.
Theo báo cáo, Apple đã bổ sung cơ chế phòng vệ trong phiên bản macOS 26.4, nhằm ngăn việc dán các lệnh bị đánh dấu là có khả năng độc hại vào Terminal của macOS.
Câu hỏi thường gặp
Hoạt động tấn công ClickFix trên macOS được Microsoft Defender tiết lộ bắt đầu từ khi nào và được đăng ở những nền tảng nào?
Theo báo cáo của nhóm nghiên cứu bảo mật Microsoft Defender và Cryptopolitan ngày 11 tháng 5 năm 2026, hoạt động tấn công trở nên sôi động từ cuối năm 2025; kẻ tấn công đăng các hướng dẫn khắc phục lỗi macOS giả mạo trên các nền tảng như Medium, Craft và Squarespace, nhằm dụ người dùng Mac thực thi lệnh độc hại trong Terminal.
Hoạt động tấn công này nhắm đến những ví tiền mã hóa và kiểu dữ liệu nào?
Theo báo cáo của Microsoft, phần mềm độc hại (AMOS, Macsync, SHub Stealer) có thể đánh cắp khóa ví của Exodus, Ledger và Trezor, dữ liệu tài khoản iCloud và Telegram, cũng như tên người dùng và mật khẩu được lưu trong Chrome và Firefox.
Apple đã tung ra những biện pháp phòng vệ nào cho kiểu tấn công này?
Theo báo cáo, Apple đã bổ sung cơ chế phòng vệ trong phiên bản macOS 26.4, nhằm ngăn các lệnh được đánh dấu là có khả năng độc hại được dán vào Terminal của macOS, qua đó giảm tỷ lệ thành công của các cuộc tấn công lừa đảo xã hội kiểu ClickFix.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
