Một chiến dịch tấn công mới đang nhắm mục tiêu vào người dùng macOS, sử dụng một trang web giả mạo Microsoft Teams để phát tán mã độc Odyssey. Chiến dịch này đánh dấu sự phát triển đáng kể từ các cuộc tấn công trước đây chủ yếu thông qua các nền tảng giao dịch giả mạo.
Sự Thay Đổi Từ Nền Tảng Giao Dịch Đến Lừa Đảo Microsoft Teams
Chiến dịch độc hại này được phát hiện lần đầu vào đầu tháng 8 năm 2025 bởi các nhà nghiên cứu bảo mật tại Forcepoint. Khi đó, các cuộc tấn công sử dụng trang web giả mạo TradingView để phát tán mã độc Odyssey. Tuy nhiên, phân tích cơ sở hạ tầng gần đây từ nền tảng tình báo mối đe dọa TRIAD của CloudSEK đã tiết lộ rằng cùng một nhóm tấn công đã mở rộng hoạt động. Chúng bắt đầu mạo danh Microsoft Teams, một trong những nền tảng cộng tác được sử dụng rộng rãi nhất trên thế giới.
Điều này cho thấy khả năng thích nghi nhanh chóng của các tác nhân đe dọa. Chúng liên tục thay đổi phương thức để khai thác lòng tin của người dùng vào các thương hiệu và dịch vụ phổ biến.
Kỹ Thuật Tấn Công “Clickfix” và Trang Web Giả Mạo
Các kẻ tấn công đã đăng ký tên miền teamsonsoft[.]com để lưu trữ trang tải xuống Microsoft Teams giả mạo. Trang này được thiết kế với thương hiệu và logo chính thức của Microsoft để đánh lừa nạn nhân.
Thông qua các kỹ thuật săn lùng mối đe dọa nâng cao, các nhà nghiên cứu đã xác định 24 địa chỉ IP duy nhất thuộc cùng một cụm cơ sở hạ tầng độc hại. Điều này cho thấy quy mô đáng kể của hoạt động. Cuộc tấn công sử dụng phương pháp “clickfix” tinh vi, khai thác lòng tin của người dùng vào phần mềm hợp pháp.
Khi nạn nhân truy cập trang web Microsoft Teams giả mạo và cố gắng tải xuống ứng dụng, họ sẽ được yêu cầu sao chép và dán một lệnh vào ứng dụng Terminal của mình.
Đối với người dùng macOS, lệnh được sao chép này chứa một payload được mã hóa base64. Khi được giải mã và thực thi, payload sẽ khởi chạy một stealer toàn diện dựa trên AppleScript.
# Ví dụ lệnh Terminal (không phải lệnh thực tế từ bài viết gốc, chỉ minh họa)
echo "base64_encoded_payload_here" | base64 --decode | sh
Phần mềm độc hại hoạt động với độ chính xác cao, thu thập dữ liệu nhạy cảm một cách có hệ thống. Nó không yêu cầu bất kỳ lỗ hổng phần mềm nào, thay vào đó dựa vào các chức năng hệ thống hợp pháp để tránh bị phát hiện.
Mã Độc Odyssey: Khả Năng Chiếm Đoạt Dữ Liệu Chuyên Sâu
Mã độc Odyssey thể hiện sự tinh vi đáng báo động trong khả năng thu thập dữ liệu. Phần mềm độc hại này nhắm mục tiêu vào nhiều loại thông tin nhạy cảm khác nhau, bắt đầu bằng việc trinh sát hệ thống thông qua tiện ích system_profiler để thu thập thông tin chi tiết về phần cứng và phần mềm của máy bị nhiễm.
Tiện ích system_profiler cung cấp một cái nhìn toàn diện về cấu hình máy Mac, giúp kẻ tấn công hiểu rõ hơn về môi trường hoạt động của nạn nhân.
system_profiler SPDisplaysDataType SPSoftwareDataType SPHardwareDataType
Chiếm Đoạt Thông Tin Đăng Nhập và Mã Hóa Tài Sản Số
Stealer đặc biệt tập trung vào việc đánh cắp thông tin đăng nhập, cố gắng truy cập các mục Chrome keychain. Nó cũng triển khai một vòng lặp xác thực liên tục, hiển thị các hộp thoại hệ thống giả mạo yêu cầu mật khẩu thiết bị của người dùng. Chiến thuật kỹ thuật xã hội này đảm bảo phần mềm độc hại có được các đặc quyền nâng cao cần thiết cho các hoạt động xâm nhập sâu hơn.
Điều đáng lo ngại nhất có lẽ là mục tiêu toàn diện của phần mềm độc hại đối với tài sản tiền điện tử. Mã độc Odyssey tìm kiếm và sao chép dữ liệu từ hàng chục ví tiền điện tử và tiện ích mở rộng trình duyệt. Bao gồm các nền tảng phổ biến như MetaMask, Electrum, Exodus, Coinomi, và các ứng dụng ví phần cứng như Ledger Live và Trezor Suite.
Phần mềm độc hại cũng thu thập cookie trình duyệt, mật khẩu đã lưu, dữ liệu biểu mẫu và thậm chí cả cơ sở dữ liệu Apple Notes. Đây là một mối nguy cơ bảo mật nghiêm trọng đối với thông tin cá nhân và tài chính của người dùng.
Cơ Chế Duy Trì Quyền Truy Cập và Loại Bỏ Dấu Vết
Ngoài việc đánh cắp dữ liệu, mã độc Odyssey còn triển khai nhiều cơ chế duy trì quyền truy cập để duy trì quyền truy cập lâu dài vào các hệ thống bị xâm nhập. Phần mềm độc hại tải xuống các payload bổ sung từ máy chủ command-and-control (C2) của nó. Nó thiết lập quyền truy cập liên tục thông qua LaunchDaemons, đảm bảo hoạt động ngay cả sau khi khởi động lại hệ thống.
Trong một động thái đặc biệt nguy hiểm, phần mềm độc hại này hoàn toàn thay thế các ứng dụng Ledger Live hợp pháp bằng các phiên bản đã được trojan hóa. Các phiên bản này được tải xuống từ cơ sở hạ tầng của kẻ tấn công.
Chiến lược thay thế này cho phép tội phạm chặn các giao dịch tiền điện tử. Từ đó, chúng có thể đánh cắp tài sản kỹ thuật số trực tiếp từ ví phần cứng của người dùng.
Exfiltration Dữ Liệu và IOCs
Tất cả dữ liệu bị đánh cắp được nén vào một kho lưu trữ ZIP và lưu trữ trong thư mục tạm thời của hệ thống. Sau đó, dữ liệu này được chuyển đến máy chủ C2 của kẻ tấn công.
Cùng một cơ sở hạ tầng này lưu trữ các payload độc hại bổ sung và thậm chí duy trì một bảng điều khiển đăng nhập cho hoạt động của mã độc Odyssey. Sau khi truyền dữ liệu thành công, phần mềm độc hại cố gắng xóa bằng chứng bằng cách loại bỏ các tệp tạm thời và thư mục làm việc. Điều này khiến việc phân tích pháp y trở nên khó khăn hơn cho các nhà nghiên cứu bảo mật và đội ngũ ứng phó sự cố.
Các chỉ số thỏa hiệp (IOCs):
- Tên miền độc hại:
teamsonsoft[.]com - Địa chỉ IP máy chủ C2:
185.93.89[.]62
Để biết thêm chi tiết về phân tích cơ sở hạ tầng, bạn có thể tham khảo báo cáo của CloudSEK tại: Threat Actors Impersonate Microsoft Teams to Deliver Odyssey macOS Stealer via Clickfix.
Khuyến Nghị Bảo Mật và Phòng Chống Tấn Công macOS
Chiến dịch này đại diện cho một xu hướng đáng lo ngại về các cuộc tấn công macOS ngày càng tinh vi. Người dùng macOS thường phải đối mặt với ít mối đe dọa phần mềm độc hại hơn so với người dùng Windows trong quá khứ. Sự kết hợp giữa kỹ thuật xã hội thông qua mạo danh thương hiệu đáng tin cậy và các kỹ thuật lẩn tránh nâng cao làm cho các cuộc tấn công này đặc biệt nguy hiểm.
Biện Pháp Bảo Vệ Cá Nhân và Doanh Nghiệp
Người dùng cá nhân cần hết sức thận trọng khi tải xuống phần mềm. Luôn xác minh rằng bạn đang truy cập các trang web chính thức của nhà cung cấp. Tránh sao chép và dán các lệnh cài đặt từ các nguồn không xác định. Kỹ thuật xã hội thông qua các nền tảng đáng tin cậy là một mối đe dọa liên tục.
Các tổ chức nên triển khai các giải pháp phát hiện và phản ứng điểm cuối (EDR) toàn diện. Các giải pháp này có khả năng xác định việc thực thi AppleScript đáng ngờ và các mẫu truy cập dữ liệu bất thường. Việc này giúp kịp thời phát hiện xâm nhập và ngăn chặn thiệt hại.
Sự phát triển từ việc mạo danh TradingView sang nhắm mục tiêu Microsoft Teams cho thấy các tác nhân đe dọa này sẽ tiếp tục điều chỉnh chiến thuật của họ. Chúng sẽ khai thác các nền tảng và dịch vụ phổ biến, khiến việc cảnh giác liên tục là điều cần thiết. Cả người dùng cá nhân và đội ngũ bảo mật doanh nghiệp đều phải duy trì cảnh giác cao độ để đối phó với mã độc Odyssey và các mối đe dọa tương tự.
