Các cuộc tấn công đang lợi dụng định dạng tệp DMG (Disk Image) để nhắm vào người dùng macOS, phát tán các phần mềm độc hại đánh cắp thông tin (infostealer). Kẻ tấn công khai thác niềm tin sai lầm rằng các thiết bị của Apple miễn nhiễm với các mối đe dọa mạng.
Chiến thuật tấn công mới nhắm vào macOS
Các chiến dịch này sử dụng trình cài đặt phần mềm giả mạo, được ngụy trang thành các ứng dụng hợp pháp. Người dùng bị lừa cung cấp quyền truy cập mà không hề hay biết.
Tốc độ của các chiến dịch này đã biến chúng thành một trong những mối đe dọa hàng đầu đối với người dùng Mac hiện nay. Trong nhiều thập kỷ, nhiều người dùng Mac tin rằng hệ thống của họ an toàn theo mặc định. Tuy nhiên, giả định đó không còn đúng nữa.
Năm 2025, hơn 65% mã độc macOS mới được báo cáo là thuộc loại đánh cắp thông tin. Điều này cho thấy kẻ tấn công hiện coi môi trường Apple là mục tiêu có giá trị cao. Chúng nhắm vào thông tin đăng nhập, cookie trình duyệt, token xác thực và ví tiền mã hóa.
Vòng đời tấn công nhanh chóng
Điểm khác biệt của các infostealer này là tốc độ hoạt động. Chúng bỏ qua hoàn toàn cơ chế duy trì sự tồn tại (persistence) và không cài đặt trên máy để tồn tại sau khi khởi động lại.
Thay vào đó, chúng thực hiện một cuộc tấn công “smash-and-grab”: thu thập dữ liệu nhạy cảm và gửi đến máy chủ từ xa trước khi nạn nhân nhận ra.
Các nhà phân tích tại Huntress báo cáo rằng họ đã xác định được mẫu tấn công này. Kẻ tấn công đã chuyển hướng gần như toàn bộ nỗ lực sang kỹ thuật social engineering (kỹ thuật tấn công tâm lý) tập trung vào khoảnh khắc cài đặt.
Tập trung vào bước cài đặt ban đầu
Vì mã độc không cần lưu lại trên hệ thống, chiến trường thực sự là bước cài đặt đầu tiên. Kẻ tấn công đầu tư mạnh vào việc làm cho các trình cài đặt giả trông giống hệt thật, bao gồm cả đồ họa thương hiệu và hướng dẫn để người dùng bỏ qua các biện pháp bảo vệ tích hợp của Apple.
URL tham khảo: Huntress Blog
Khai thác định dạng DMG
Việc lựa chọn định dạng DMG làm phương tiện phân phối là có chủ đích. So với các tệp gói (.pkg), các tệp ảnh đĩa yêu cầu quy trình ký ít trang trọng hơn và ít bị các kiểm tra bảo mật của macOS soi xét hơn.
Khi người dùng nhấp đúp vào tệp DMG, macOS sẽ gắn nó như một ổ đĩa ảo tại /Volumes, giữ cho nội dung của nó bị cô lập. Tuy nhiên, sự cô lập này trở nên vô nghĩa một khi kẻ tấn công có được sự hợp tác của người dùng.
Một tệp DMG hợp pháp thường hiển thị giao diện kéo thả vào thư mục Ứng dụng quen thuộc. Một tệp DMG độc hại trông giống hệt nhưng bao gồm các hướng dẫn để ghi đè lên Gatekeeper, công cụ của Apple để xác minh phần mềm đáng tin cậy.
Các hướng dẫn này được nhúng trong ảnh nền của cửa sổ thư mục, dễ bị bỏ qua như một chi tiết không đáng ngờ. Kỹ thuật này được sử dụng bởi các họ infostealer bao gồm AMOS, Poseidon, Odyssey và MacSync.
URL tham khảo: Cyber Security News – Gatekeeper Bypass
Biến thể kỹ thuật tấn công
Kẻ tấn công cũng tìm ra các biến thể cho cách tiếp cận này. Trong một số trường hợp, các hướng dẫn bỏ qua (bypass) được mã hóa trực tiếp vào tên tệp, ví dụ như đặt tên tệp là “Kéo vào Terminal”.
Các trang web cung cấp phần mềm lậu (piracy sites) phân phối phần mềm được dán nhãn “cracked”, có sẵn tâm lý người dùng coi tất cả các cảnh báo bảo mật là bình thường.
Thách thức trong việc phát hiện xâm nhập
Hầu hết các công cụ điểm cuối (endpoint tools) chỉ phát hiện mã độc sau khi nó đã thực thi. Đến lúc đó, việc đánh cắp đã hoàn tất và dữ liệu bị lộ đang rời khỏi máy.
URL tham khảo: Cyber Security News – Voldemort Malware
Việc phát hiện cuộc tấn công trước khi người dùng nhấp qua trình cài đặt là yếu tố tạo nên sự khác biệt.
Các biện pháp phòng chống hiệu quả
Phát hiện ở giai đoạn gắn kết (mount stage) bao gồm việc giám sát các ảnh đĩa ảo trong thư mục /Volumes, quét các thư mục .background ẩn và đọc văn bản từ đồ họa trình cài đặt bằng công nghệ nhận dạng ký tự quang học (OCR). Kỹ thuật khớp mờ (fuzzy matching) cũng có thể phát hiện các lỗi chính tả cố ý mà kẻ tấn công sử dụng để né tránh bộ lọc từ khóa.
Khi một trình cài đặt đáng ngờ bị phát hiện, bước tức thì là gỡ bỏ ảnh đĩa (unmount) và dừng bất kỳ tiến trình liên quan nào. Nếu người dùng đã tiến hành thêm, trọng tâm chuyển sang hành vi tiếp theo như truy cập Keychain hoặc leo thang đặc quyền.
URL tham khảo: Cyber Security News – Fake Openclaw Installer
Tầm quan trọng của nhận thức an ninh
Nhận thức về an ninh là tuyến phòng thủ quan trọng, vì toàn bộ cuộc tấn công phụ thuộc vào việc con người tự nguyện chấp thuận những hành động đáng lẽ không nên làm.
Người dùng nên tránh tải phần mềm từ các nguồn không chính thức hoặc các diễn đàn phần mềm lậu. Bất kỳ trình cài đặt nào yêu cầu bạn kéo tệp vào Terminal hoặc phê duyệt phần mềm không rõ nguồn gốc trong Cài đặt Hệ thống đều là một dấu hiệu đáng ngờ cần được xem xét nghiêm túc.
