Chiến dịch phần mềm độc hại ClickFix nhắm vào người dùng Mac tìm kiếm sự trợ giúp

Kẻ tấn công đang đăng các hướng dẫn khắc phục lỗi macOS giả trên Medium, Craft và Squarespace. Mục tiêu là khiến người dùng chạy các lệnh trong Terminal để cài đặt phần mềm độc hại nhắm vào dữ liệu iCloud, mật khẩu đã lưu và ví tiền điện tử.

Nhóm Nghiên cứu An ninh Defender của Microsoft đã công bố các phát hiện này. Chiến dịch này đã diễn ra từ cuối năm 2025. Nó nhắm vào người dùng Mac tìm kiếm sự trợ giúp về các vấn đề phổ biến như giải phóng dung lượng ổ đĩa hoặc sửa lỗi hệ thống.

Thay vì cung cấp một giải pháp hợp lệ, các trang này yêu cầu người dùng sao chép một lệnh và dán vào Terminal. Lệnh này tải xuống và chạy phần mềm độc hại.

Các bài đăng blog gây hiểu lầm này yêu cầu người đọc sao chép một lệnh độc hại và dán vào Terminal. Lệnh này tải xuống phần mềm độc hại và chạy nó trên máy tính của nạn nhân.

Kỹ thuật này gọi là ClickFix. Đây là kỹ thuật lừa đảo xã hội chuyển trách nhiệm khởi chạy payload sang nạn nhân. Vì người dùng chạy lệnh trực tiếp trong Terminal, Gatekeeper của macOS không kiểm tra payload.

Thông thường, Gatekeeper kiểm tra chữ ký mã và xác thực trên các gói ứng dụng mở qua Finder, nhưng phương pháp này hoàn toàn bỏ qua nó.

Kẻ tấn công đã phát động ba chiến dịch với cùng mục tiêu

Microsoft phát hiện ba trình cài đặt chiến dịch:

Một trình tải.

Một script.

Một trợ thủ.

Cả ba đều thu thập dữ liệu nhạy cảm, duy trì tính bền vững và gửi dữ liệu bị đánh cắp về máy chủ của kẻ tấn công.

Các họ phần mềm độc hại bao gồm AMOS, Macsync và SHub Stealer. Nếu bất kỳ phần mềm độc hại nào trong ba phần mềm này được cài đặt, nó sẽ nhắm vào dữ liệu tài khoản iCloud và Telegram. Sau đó, nó tìm kiếm các tài liệu và hình ảnh riêng tư dưới 2 MB. Và nó trích xuất khóa ví tiền điện tử từ Exodus, Ledger và Trezor, cùng với việc đánh cắp tên người dùng và mật khẩu đã lưu từ Chrome và Firefox.

Sau khi cài đặt, phần mềm độc hại hiển thị một hộp thoại giả mạo và yêu cầu mật khẩu hệ thống để cài đặt “công cụ trợ thủ”. Nếu người dùng nhập mật khẩu, kẻ tấn công sẽ có quyền truy cập đầy đủ vào các tệp và cài đặt hệ thống.

Trong một số trường hợp, các nhà nghiên cứu phát hiện kẻ tấn công đã xóa các ứng dụng ví tiền điện tử hợp pháp và thay thế bằng các phiên bản Trojan nhằm theo dõi các giao dịch và đánh cắp quỹ.

Trezor Suite, Ledger Wallet và Exodus là một số ứng dụng chính bị nhắm tới trong cuộc tấn công này.

Chiến dịch tải xuống còn bao gồm một kill switch. Phần mềm độc hại sẽ dừng thực thi nếu phát hiện bàn phím tiếng Nga.

Các nhà nghiên cứu an ninh quan sát thấy kẻ tấn công sử dụng curl, osascript và các tiện ích gốc của macOS khác để chạy payload trực tiếp trong bộ nhớ. Đây là phương pháp không dùng tệp, khiến việc phát hiện trở nên khó khăn hơn đối với các công cụ chống virus tiêu chuẩn.

Kẻ tấn công nhắm vào các nhà phát triển tiền điện tử

Các nhà nghiên cứu an ninh từ ANY[.]RUN phát hiện ra một hoạt động của nhóm Lazarus gọi là “Mach-O Man.” Hacker đã sử dụng cùng kỹ thuật ClickFix qua các lời mời họp giả mạo. Họ nhắm vào các máy móc fintech và tiền điện tử nơi macOS phổ biến.

Cryptopolitan đã đăng bài về chiến dịch PromptMink.

Một gói npm độc hại đã được nhóm Triều Tiên Famous Chollima đưa vào một dự án giao dịch tiền điện tử thông qua một thay đổi do AI tạo ra. Sử dụng phương pháp gói hai lớp, phần mềm độc hại đã truy cập dữ liệu ví và bí mật hệ thống.

Cả hai chiến dịch đều cho thấy dữ liệu ví tiền điện tử rất có giá trị. Kẻ tấn công đang thích nghi phương thức phân phối của mình từ các bài blog giả mạo đến các cuộc tấn công chuỗi cung ứng hỗ trợ bởi AI để tiếp cận dữ liệu này.

Nếu bạn đang đọc điều này, bạn đã đi trước rồi. Hãy giữ vững vị trí của mình với bản tin của chúng tôi.