Mã độc Atomic Stealer phát tán qua “kỹ năng AI”, người dùng Mac bị đánh cắp dữ liệu

[WhiteHat Team]

Một xu hướng tấn công mạng mới vừa được phát hiện cho thấy tội phạm mạng đang lợi dụng các nền tảng AI để phát tán mã độc trên macOS. Theo nghiên cứu từ các chuyên gia an ninh mạng, thông qua hệ thống TrendAI™, mã độc Atomic Stealer (AMOS) đã chuyển từ phát tán qua phần mềm “crack” sang ẩn mình trong các “skill” của nền tảng AI OpenClaw. Diễn biến này cho thấy một bước tiến nguy hiểm: thay vì lừa tải file độc hại, tin tặc thao túng chính AI để cài mã độc vào máy người dùng.
​

Atomic Stealer không phải mối đe dọa mới. Đây là một malware-as-a-service (MaaS) chuyên đánh cắp dữ liệu nhạy cảm trên thiết bị Apple. Trước đây, AMOS thường lây lan qua các phần mềm macOS bẻ khóa hoặc bộ cài giả mạo. Tuy nhiên, tin tặc đã thay đổi chiến thuật, lợi dụng OpenClaw (một nền tảng AI agent có khả năng thực thi các “skill” để tự động hóa tác vụ).

Trong kịch bản mới, mã độc không dựa vào một lỗ hổng CVE cụ thể hay lỗi kỹ thuật có điểm CVSS. Thay vào đó, nó khai thác sự tin tưởng của người dùng đối với AI và cơ chế thực thi kỹ năng tự động. Quá trình lây nhiễm bắt đầu bằng một file có tên SKILL.md trông vô hại, yêu cầu cài đặt công cụ OpenClawCLI. Khi AI agent thực thi các chỉ dẫn này, hệ thống âm thầm tải thêm hướng dẫn từ một website độc hại và cài đặt một công cụ dòng lệnh giả mạo.

Tùy vào mô hình AI được sử dụng, chẳng hạn GPT-4o, việc cài đặt có thể diễn ra âm thầm hoặc liên tục yêu cầu người dùng chấp thuận cài “driver”. Sau khi hoàn tất, hệ thống sẽ tải về một tệp Mach-O dạng universal binary – có thể chạy trên cả máy Mac dùng chip Intel và Apple Silicon. Đây chính là payload của AMOS.

Khi được kích hoạt, AMOS bắt đầu thu thập thông tin đăng nhập từ Apple Keychain, KeePass, dữ liệu trong Desktop, Documents, Downloads, Apple Notes và thông tin từ 19 trình duyệt khác nhau, bao gồm mật khẩu lưu sẵn và dữ liệu autofill. Tất cả dữ liệu này được nén lại và gửi về máy chủ điều khiển (C&C) của kẻ tấn công. Nguy hiểm hơn, mã độc còn có thể đánh cắp khóa riêng, chứng chỉ số và thông tin ví tiền mã hóa.

Việc không có mã CVE cụ thể không đồng nghĩa với việc ít nguy hiểm. Trái lại, đây là hình thức tấn công mới khai thác “chuỗi tin cậy AI” – nơi người dùng trao quyền thực thi cho AI mà không kiểm soát chặt chẽ. Rủi ro đặc biệt cao đối với doanh nghiệp sử dụng máy Mac trong môi trường làm việc, bởi một thiết bị nhiễm mã độc có thể trở thành điểm khởi đầu cho rò rỉ dữ liệu diện rộng.​

Hậu quả và mức độ ảnh hưởng​

Nếu bị nhiễm AMOS, người dùng có thể mất toàn bộ thông tin đăng nhập cá nhân, dữ liệu công việc, tài khoản mạng xã hội và ví tiền số. Trong môi trường doanh nghiệp, thông tin nội bộ, chứng chỉ bảo mật hoặc khóa truy cập hệ thống có thể bị lộ, mở đường cho các cuộc tấn công tiếp theo.

Điểm đáng lo ngại là mã độc có thể vượt qua các công cụ quét truyền thống vì file “skill” ban đầu trông hợp lệ và thậm chí không bị VirusTotal cảnh báo.​

Giải pháp phòng tránh​

Vì đây không phải lỗi phần mềm có bản vá cụ thể, biện pháp phòng ngừa tập trung vào quản trị và giám sát:​

• Không cài đặt hoặc thử nghiệm các OpenClaw skill từ nguồn không xác minh​
• Thử nghiệm skill trong môi trường cô lập như máy ảo hoặc container​
• Giám sát hành vi truy cập Keychain và các thư mục nhạy cảm​
• Áp dụng nguyên tắc cấp quyền tối thiểu cho AI agent​
• Triển khai giải pháp giám sát và phản ứng như MDR​

Chiến dịch phát tán Atomic Stealer qua OpenClaw cho thấy tội phạm mạng đang nhanh chóng thích nghi với xu hướng AI. Khi công nghệ AI ngày càng phổ biến trong công việc và đời sống, bề mặt tấn công cũng mở rộng tương ứng. Không chỉ là cần cảnh giác với file “crack” như trước đây, mà còn phải thận trọng với các công cụ AI và kỹ năng tự động hóa. Trong kỷ nguyên AI, sự tiện lợi luôn đi kèm rủi ro và chỉ một thao tác thiếu kiểm soát cũng có thể khiến dữ liệu cá nhân và doanh nghiệp bị đánh cắp.​