Hơn 2.800 trang web phát tán mã độc nhắm vào người dùng macOS

Chiến dịch, có tên mã “MacReaper”, ban đầu được phát hiện trên một trang tin tức của Brazil. Từ đó, các nhà điều tra đã mở rộng phân tích và phát hiện quy mô thực sự của cuộc tấn công.

Theo các nhà nghiên cứu bảo mật từ BadByte, mã độc này khai thác một kỹ thuật đánh lừa người dùng có tên “ClickFix” (còn gọi là “ClearFix”), trong đó hiển thị cửa sổ xác minh Google reCAPTCHA giả mạo chỉ xuất hiện với người dùng macOS.

“Đây là một trong những chiến dịch phi kỹ thuật tinh vi nhất nhằm vào người dùng Apple mà chúng tôi từng quan sát trong năm 2025”, một chuyên gia an ninh mạng phát hiện ra vụ tấn công cho biết.

Mã độc AMOS Stealer tấn công người dùng MacOS

Thông qua việc mô phỏng các yếu tố giao diện web đáng tin cậy và tự động sao chép các lệnh ẩn vào clipboard của người dùng, ClickFix có khả năng vượt qua nhiều lớp bảo mật mặc định của trình duyệt. Nó khai thác sự tin tưởng tự nhiên của người dùng đối với các tương tác trực tuyến quen thuộc.

“Kẻ tấn công đã đầu tư đáng kể để khiến giao diện giả mạo trông như thật, thậm chí còn tích hợp cả các phím tắt đặc trưng của macOS vào phần hướng dẫn”, một chuyên gia bảo mật nhận định.

Cuộc tấn công bắt đầu khi người dùng truy cập vào một trang web đã bị chèn mã độc, nơi giao diện reCAPTCHA giả xuất hiện. Khi nạn nhân nhấn chọn “Tôi không phải người máy”, mã độc âm thầm sao chép một đoạn lệnh độc hại vào clipboard và hướng dẫn người dùng mở Terminal để dán lệnh.

Đoạn lệnh này sẽ tải về và cài đặt Atomic Stealer (AMOS) - một phần mềm độc hại có khả năng đánh cắp: mật khẩu từ Keychain; thông tin đăng nhập trình duyệt; dữ liệu từ các ví tiền điện tử; và các tài liệu nhạy cảm khác trên thiết bị.

Một trong những điểm đặc biệt nguy hiểm của chiến dịch là việc ứng dụng kỹ thuật EtherHiding, cho phép lưu trữ mã độc trên blockchain Binance Smart Chain để tránh bị phát hiện và chống lại các nỗ lực gỡ bỏ.

EtherHiding tận dụng đặc tính phi tập trung và không thể chỉnh sửa của blockchain bằng cách nhúng mã độc vào các hợp đồng thông minh. Điều này khiến các cơ quan chức năng hoặc công ty an ninh mạng gần như không thể vô hiệu hóa cơ sở hạ tầng phát tán mã độc.

Cuộc tấn công được thiết kế nhắm riêng vào người dùng hệ điều hành macOS sử dụng chuỗi nhận diện tác nhân người dùng (user-agent detection).

Theo báo cáo, AMOS hiện được phân phối dưới hình thức phần mềm độc hại dưới dạng dịch vụ (malware-as-a-Service) trên Telegram, với mức giá lên đến 3.000 USD mỗi tháng. Những người vận hành dịch vụ này đã xây dựng một hạ tầng có khả năng đánh cắp khối lượng lớn dữ liệu nhạy cảm từ hàng ngàn nạn nhân trên toàn cầu.

Các tính năng chính của Atomic Stealer bao gồm:

Mật khẩu Keychain: Trích xuất dữ liệu đăng nhập lưu trong Keychain - nơi chứa nhiều tài khoản cá nhân và doanh nghiệp.

Dữ liệu trình duyệt: Thu thập cookies, mật khẩu và thông tin tự động điền từ các trình duyệt phổ biến như Chrome, Firefox.

Ví tiền điện tử: Nhắm mục tiêu vào hơn 50 loại ví và tiện ích mở rộng, bao gồm Binance, Exodus và Coinomi.

Thông tin hệ thống: Thu thập dữ liệu chi tiết về UUID, CPU, RAM và hệ điều hành thông qua lệnh system_profiler.

Trích xuất tập tin: Tải các tập tin từ thư mục Desktop và Documents, thường yêu cầu quyền người dùng để qua mặt bảo mật.

Khuyến nghị bảo mật cho người dùng macOS

Trước mức độ tinh vi ngày càng tăng của mã độc AMOS, các chuyên gia an ninh mạng khuyến cáo người dùng macOS cần thực hiện ngay những biện pháp sau. Người dùng cần tuyệt đối không thực hiện các lệnh Terminal do trang web đề xuất, kể cả khi chúng trông có vẻ đáng tin; cảnh giác với các cửa sổ reCAPTCHA yêu cầu thực hiện thêm hành động. Đồng thời luôn cập nhật hệ điều hành và ứng dụng lên phiên bản mới nhất để đảm bảo các bản vá bảo mật được áp dụng; cài đặt phần mềm bảo mật uy tín, có khả năng phát hiện mã độc này.

Apple cũng đã tích hợp nhiều lớp bảo mật mặc định trong hệ điều hành. Tuy nhiên, các chuyên gia nhấn mạnh rằng việc chỉ cho phép cài đặt ứng dụng từ App Store là một trong những cách hiệu quả nhất để ngăn chặn các mối đe dọa như AMOS.

Phát hiện này là lời cảnh báo nghiêm túc về mức độ tinh vi của các cuộc tấn công mạng nhắm vào người dùng Apple, đặt dấu hỏi lớn cho quan điểm lâu nay rằng macOS vốn an toàn hơn các nền tảng khác./.