Người dùng macOS đang bị săn lùng bởi mã độc “đánh xong rồi biến mất”, hé lộ dấu vết từ các nhóm tin tặc nói tiếng Việt

[MinhSec]

Các chuyên gia bảo mật của Microsoft vừa công bố chi tiết về ba chiến dịch mã độc lớn nhắm thẳng vào người dùng macOS. Đáng chú ý, những mã độc này được viết bằng Python, phát tán qua công cụ AI giả mạo, quảng cáo Google và các thủ thuật đánh lừa người dùng thao tác trong Terminal. Sau khi đánh cắp dữ liệu, chúng còn tự xóa dấu vết để né tránh bị phát hiện.

Trong nhiều năm, macOS thường được xem là “vùng an toàn” trước virus và phần mềm độc hại. Tuy nhiên, theo Nhóm Nghiên cứu Bảo mật Microsoft Defender, quan niệm này đang dần trở nên lỗi thời khi tội phạm mạng chuyển hướng mạnh sang người dùng Mac với các kỹ thuật ngày càng tinh vi.

Ba chiến dịch mã độc nhắm thẳng vào người dùng Mac​

Từ cuối năm 2025, Microsoft ghi nhận sự gia tăng đột biến của các cuộc tấn công đánh cắp thông tin trên macOS. Điểm chung của các chiến dịch này là khai thác tâm lý cả tin của người dùng, bắt đầu từ quảng cáo Google giả mạo. Khi người dùng tìm kiếm các công cụ hữu ích hoặc phần mềm AI mới, họ bị chuyển hướng đến các trang web lừa đảo sử dụng chiêu trò ClickFix để dụ tải về tệp độc hại.

Quá trình điều tra cho thấy có ba chiến dịch chính:

• DigitStealer, ẩn mình trong các phiên bản giả mạo của phần mềm DynamicLake.
• MacSync, nguy hiểm hơn khi lừa người dùng sao chép và dán các lệnh độc hại trực tiếp vào Terminal.
• Atomic Stealer, giả dạng dưới dạng trình cài đặt công cụ AI “hữu ích”.

Dù cách phát tán khác nhau, cả ba đều nhằm đánh cắp các dữ liệu nhạy cảm như ví tiền điện tử, thông tin đăng nhập trình duyệt, mật khẩu đã lưu và thông tin xác thực dành cho nhà phát triển như khóa AWS hay SSH. Sau khi gửi dữ liệu về máy chủ của kẻ tấn công, mã độc sẽ tự xóa để che giấu dấu vết, khiến nạn nhân khó nhận ra mình đã bị xâm nhập.

Nguy cơ nghiêm trọng cho cá nhân và doanh nghiệp​

Với người dùng cá nhân, hậu quả có thể đến rất nhanh. Tài khoản email, mạng xã hội, ngân hàng hoặc ví tiền điện tử có thể bị chiếm đoạt chỉ trong thời gian ngắn, dẫn đến thiệt hại tài chính gần như không thể khắc phục.

Đối với doanh nghiệp, rủi ro còn lớn hơn nhiều. Khi tin tặc đánh cắp được thông tin đăng nhập của nhà phát triển, chúng có thể truy cập vào mã nguồn, hạ tầng đám mây và thậm chí là dữ liệu khách hàng nhạy cảm. Microsoft cũng cảnh báo rằng mối đe dọa không chỉ đến từ các trang web giả mạo. Cuối năm 2025, hãng đã điều tra PXA Stealer một công cụ liên quan đến các nhóm tin tặc nói tiếng Việt, từng nhắm vào cơ quan chính phủ và lĩnh vực giáo dục thông qua email lừa đảo.

Ngay cả những nền tảng quen thuộc như WhatsApp cũng bị lợi dụng. Một chiến dịch vào tháng 11 năm 2025 đã chiếm đoạt tài khoản người dùng để gửi tệp đính kèm độc hại đến toàn bộ danh bạ, qua đó phát tán Eternidade Stealer mã độc theo dõi các cửa sổ liên quan đến dịch vụ thanh toán như Stripe, Binance hay MercadoPago.

Các chuyên gia an ninh đều chung nhận định rằng những cuộc tấn công này thành công không phải vì macOS yếu, mà vì người dùng quá tự tin. Thay vì phá vỡ cơ chế bảo mật, tin tặc khiến nạn nhân tự tay chạy các công cụ và lệnh tưởng như hợp pháp. Lời khuyên quan trọng nhất vẫn là chỉ cài đặt ứng dụng từ nguồn chính thức và tuyệt đối không chạy các lệnh Terminal không rõ nguồn gốc.

Nguồn: hackread​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview