-
09/04/2020
-
125
-
1.573 bài viết
macOS bị nhắm tới trong làn sóng mã độc đánh cắp thông tin lạm dụng Python
Infostealer từ lâu đã gắn liền với hệ sinh thái Windows, nhưng bức tranh này đang thay đổi rõ rệt. Từ cuối năm 2025, số lượng chiến dịch tấn công nhắm vào macOS gia tăng nhanh chóng, cho thấy hệ sinh thái Apple đang trở thành một mặt trận mới trong hoạt động của tin tặc. Đáng chú ý, các chiến dịch này không dựa vào những kỹ thuật khai thác phức tạp, mà tập trung lạm dụng Python, các công cụ sẵn có của macOS và những ứng dụng quen thuộc để đánh cắp thông tin một cách âm thầm.
Theo ghi nhận từ Microsoft Defender Experts, nhiều chiến dịch nhắm vào macOS được triển khai thông qua website giả mạo, các chiêu trò ClickFix và tệp DMG độc hại. Chuỗi lây nhiễm này dẫn tới việc phát tán hàng loạt infostealer như DigitStealer, MacSync và Atomic macOS Stealer (AMOS). Điểm chung của các mã độc này là khả năng hoạt động theo hướng fileless, tận dụng tiện ích hệ thống của macOS và AppleScript để thu thập dữ liệu mà không để lại nhiều dấu vết rõ ràng trên đĩa.
Mục tiêu mà tin tặc nhắm tới không dừng lại ở dữ liệu trình duyệt hay Keychain. Các chiến dịch gần đây cho thấy sự quan tâm đặc biệt tới thông tin đăng nhập dịch vụ đám mây, ví tiền điện tử và các bí mật phát triển phần mềm như token hay khóa API. Đây đều là những tài sản có giá trị cao, có thể bị khai thác để chiếm quyền tài khoản, mở rộng phạm vi xâm nhập và tiến sâu hơn vào hạ tầng doanh nghiệp.
Python trở thành “chất xúc tác” cho infostealer đa nền tảng
Việc Python được sử dụng ngày càng nhiều trong các chiến dịch infostealer không phải ngẫu nhiên. Ngôn ngữ này cho phép tin tặc nhanh chóng chỉnh sửa, tái sử dụng và triển khai mã độc trên nhiều hệ điều hành khác nhau. Bên cạnh đó, một số chiến dịch còn lạm dụng các ứng dụng quen thuộc như WhatsApp hoặc công cụ xử lý PDF để phát tán mã độc, trong đó có Eternidade Stealer, nhằm đánh cắp thông tin ngân hàng và ví tiền điện tử, mở đường cho gian lận tài chính và các sự cố an ninh nghiêm trọng.
Một trường hợp đáng chú ý là sự gia tăng của các infostealer viết bằng Python như PXA trong năm 2025. Những chiến dịch này có liên quan tới các tác nhân đe dọa người Việt, từng nhắm vào cơ quan chính phủ thông qua email phishing. Mã độc sử dụng Telegram làm kênh điều khiển, áp dụng kỹ thuật làm rối mã, DLL side-loading và ngụy trang tiến trình dưới tên svchost.exe. Dữ liệu thu thập được được nén và gửi đi, trong khi cơ chế duy trì hiện diện được thiết lập thông qua Run key hoặc scheduled task.
Một trường hợp đáng chú ý là sự gia tăng của các infostealer viết bằng Python như PXA trong năm 2025. Những chiến dịch này có liên quan tới các tác nhân đe dọa người Việt, từng nhắm vào cơ quan chính phủ thông qua email phishing. Mã độc sử dụng Telegram làm kênh điều khiển, áp dụng kỹ thuật làm rối mã, DLL side-loading và ngụy trang tiến trình dưới tên svchost.exe. Dữ liệu thu thập được được nén và gửi đi, trong khi cơ chế duy trì hiện diện được thiết lập thông qua Run key hoặc scheduled task.
Lạm dụng hành vi người dùng và ứng dụng phổ biến
Song song với các kỹ thuật kỹ thuật thuần túy, tin tặc đặc biệt chú trọng khai thác hành vi người dùng. Người dùng macOS đang phải đối mặt với làn sóng quảng cáo Google giả mạo và các website lừa đảo, dẫn dụ tải về phần mềm độc hại hoặc sao chép lệnh vào Terminal. Các chiến dịch ClickFix lợi dụng tâm lý thiếu cảnh giác, yêu cầu nạn nhân dán mã lệnh để “sửa lỗi”, từ đó cài đặt DigitStealer, MacSync hoặc AMOS thông qua các ứng dụng giả mạo, bao gồm cả các công cụ AI được dựng lên làm vỏ bọc.
Sau khi xâm nhập thành công, mã độc nhanh chóng thu thập mật khẩu trình duyệt, dữ liệu ví tiền điện tử, khóa truy cập dịch vụ đám mây và token của môi trường phát triển. Toàn bộ dữ liệu này được đóng gói, gửi về máy chủ điều khiển của tin tặc, đồng thời các dấu vết tạm thời bị xóa nhằm giảm khả năng bị phát hiện.
Ở một hướng khác, WhatsApp bị lạm dụng như một kênh phát tán mang tính chất sâu máy tính. Một chiến dịch vào tháng 11 năm 2025 bắt đầu bằng script VBS, tiếp tục tải batch file và PowerShell, sau đó thu thập danh bạ và tự động gửi tin nhắn độc hại. Chuỗi tấn công này cuối cùng cài đặt Eternidade Stealer thông qua tệp MSI, nhắm tới các dịch vụ tài chính phổ biến như Bradesco, Binance và MetaMask.
Trước đó, vào tháng 9, một chiến dịch Crystal PDF giả mạo thông qua malvertising đã dụ người dùng tải về trình chỉnh sửa PDF giả. Mã độc thiết lập scheduled task, đánh cắp cookie và session của Chrome và Firefox, cho phép tin tặc chiếm quyền tài khoản mà không cần mật khẩu.
Sau khi xâm nhập thành công, mã độc nhanh chóng thu thập mật khẩu trình duyệt, dữ liệu ví tiền điện tử, khóa truy cập dịch vụ đám mây và token của môi trường phát triển. Toàn bộ dữ liệu này được đóng gói, gửi về máy chủ điều khiển của tin tặc, đồng thời các dấu vết tạm thời bị xóa nhằm giảm khả năng bị phát hiện.
Ở một hướng khác, WhatsApp bị lạm dụng như một kênh phát tán mang tính chất sâu máy tính. Một chiến dịch vào tháng 11 năm 2025 bắt đầu bằng script VBS, tiếp tục tải batch file và PowerShell, sau đó thu thập danh bạ và tự động gửi tin nhắn độc hại. Chuỗi tấn công này cuối cùng cài đặt Eternidade Stealer thông qua tệp MSI, nhắm tới các dịch vụ tài chính phổ biến như Bradesco, Binance và MetaMask.
Trước đó, vào tháng 9, một chiến dịch Crystal PDF giả mạo thông qua malvertising đã dụ người dùng tải về trình chỉnh sửa PDF giả. Mã độc thiết lập scheduled task, đánh cắp cookie và session của Chrome và Firefox, cho phép tin tặc chiếm quyền tài khoản mà không cần mật khẩu.
Phát hiện và giảm thiểu rủi ro
Để đối phó với làn sóng Infostealer đa nền tảng, các đơn vị vận hành hệ thống cần triển khai lộ trình phòng thủ tập trung vào kiểm soát hành vi tiến trình. Trọng tâm của công tác giám sát là theo dõi các lệnh thực thi từ Terminal có chứa curl, base64, gunzip hoặc osascript bất thường. Mọi nỗ lực truy cập Keychain, sự xuất hiện của tệp nén trong thư mục tạm /tmp hay lưu lượng POST đến các tên miền lạ đều phải được gắn cờ cảnh báo mức độ cao để xử lý kịp thời.
Việc ứng dụng các giải pháp XDR hiện đại cho phép tự động hóa quá trình nhận diện thông qua các quy tắc ngăn chặn bề mặt tấn công (ASR), đặc biệt là việc chặn đứng các kịch bản thực thi bị làm mờ (obfuscated scripts). Đội ngũ phân tích cần chủ động sử dụng các truy vấn KQL để săn tìm dấu vết mã độc, từ hoạt động gắn kết DMG khả nghi của DigitStealer đến các tác vụ thực thi định kỳ của Crystal PDF hay hành vi giả mạo tiến trình hệ thống của dòng mã độc PXA.
Trong bối cảnh tin tặc liên tục thay đổi hạ tầng, việc cập nhật định kỳ các chỉ số nhận diện (IOCs) như alli-ai[.]pro hay dynamiclake[.]org là yêu cầu bắt buộc. Các tổ chức nên thực hiện rà soát toàn diện hệ thống ngay lập tức, bởi các dòng Infostealer này có khả năng lẩn tránh cao trước các giải pháp phòng vệ truyền thống. Sự chủ động trong việc triển khai các lớp bảo mật đa tầng và giám sát chặt chẽ luồng dữ liệu chính là chìa khóa để bảo vệ tài sản số trước các chiến dịch tấn công xuyên biên giới đầy biến ảo.
Việc ứng dụng các giải pháp XDR hiện đại cho phép tự động hóa quá trình nhận diện thông qua các quy tắc ngăn chặn bề mặt tấn công (ASR), đặc biệt là việc chặn đứng các kịch bản thực thi bị làm mờ (obfuscated scripts). Đội ngũ phân tích cần chủ động sử dụng các truy vấn KQL để săn tìm dấu vết mã độc, từ hoạt động gắn kết DMG khả nghi của DigitStealer đến các tác vụ thực thi định kỳ của Crystal PDF hay hành vi giả mạo tiến trình hệ thống của dòng mã độc PXA.
Trong bối cảnh tin tặc liên tục thay đổi hạ tầng, việc cập nhật định kỳ các chỉ số nhận diện (IOCs) như alli-ai[.]pro hay dynamiclake[.]org là yêu cầu bắt buộc. Các tổ chức nên thực hiện rà soát toàn diện hệ thống ngay lập tức, bởi các dòng Infostealer này có khả năng lẩn tránh cao trước các giải pháp phòng vệ truyền thống. Sự chủ động trong việc triển khai các lớp bảo mật đa tầng và giám sát chặt chẽ luồng dữ liệu chính là chìa khóa để bảo vệ tài sản số trước các chiến dịch tấn công xuyên biên giới đầy biến ảo.
Theo Cyber Press