Một chiến dịch tấn công mạng mới đang gây ra rủi ro nghiêm trọng cho người dùng macOS, không dựa trên các lỗi phần mềm để gây hại. Kẻ tấn công đánh lừa người dùng tự nguyện cung cấp mật khẩu và dữ liệu nhạy cảm bằng cách tạo ra vẻ ngoài hoàn toàn bình thường. Điều tưởng chừng là một bản cập nhật phần mềm thông thường lại là một cái bẫy được thiết kế tinh vi. Khi nạn nhân nhận ra vấn đề, thiệt hại đã có thể xảy ra. Các nhà phân tích tại Microsoft đã báo cáo rằng chiến dịch này bắt đầu từ đầu năm 2026 và giới thiệu các kỹ thuật tấn công đặc thù cho macOS, chưa từng thấy ở nhóm tấn công này trước đây. Cuộc tấn công hoàn toàn dựa vào kỹ thuật social engineering, nghĩa là tin tặc thuyết phục người dùng tự chạy các tệp độc hại thay vì khai thác lỗ hổng trong hệ điều hành.
Chiến Lược Tấn Công Qua Kỹ Thuật Lừa Đảo
Cuộc tấn công bắt đầu khi mục tiêu bị liên hệ trên mạng xã hội hoặc các nền tảng chuyên nghiệp bởi một đối tượng giả mạo nhà tuyển dụng. Sau một vài trao đổi, mục tiêu được hướng dẫn tải xuống một tệp được ngụy trang dưới dạng bản cập nhật Zoom SDK. Khi tệp này được mở, nó sẽ khởi chạy trong macOS Script Editor, một công cụ hợp pháp của Apple, và âm thầm tải thêm mã độc ở chế độ nền. Người dùng không thấy bất kỳ điều gì đáng ngờ, chỉ là một quá trình cài đặt phần mềm thông thường. Microsoft đã chia sẻ phát hiện này với Apple như một phần của quy trình công bố có trách nhiệm. Apple đã triển khai các biện pháp bảo vệ ở cấp độ nền tảng, bao gồm cập nhật chữ ký XProtect và chặn các trang web độc hại của Safari Safe Browsing để phát hiện và ngăn chặn cơ sở hạ tầng liên quan đến chiến dịch này. Người dùng macOS được khuyến khích giữ cho thiết bị của họ được cập nhật đầy đủ để hưởng lợi từ các biện pháp bảo vệ này.
Triển Khai Mã Độc Và Thu Thập Dữ Liệu
Sau khi tập lệnh độc hại chạy trên máy của nạn nhân, nó sẽ âm thầm triển khai một ứng dụng giả mạo có tên systemupdate.app. Ứng dụng này hiển thị cho người dùng một hộp thoại yêu cầu nhập mật khẩu trông giống hệt như một lời nhắc hệ thống thật sự của macOS. Người dùng được thông báo rằng mật khẩu của họ là cần thiết để hoàn tất cập nhật phần mềm, và hầu hết mọi người sẽ nhập mật khẩu mà không hề do dự. Sau khi mật khẩu được nhập, mã độc sẽ xác minh nó với cơ sở dữ liệu xác thực macOS cục bộ. Nếu thông tin đăng nhập hợp lệ, nó sẽ ngay lập tức được chuyển tiếp đến kẻ tấn công qua dịch vụ nhắn tin Telegram. Một ứng dụng giả mạo thứ hai, softwareupdate.app, sau đó hiển thị một hộp thoại cập nhật hoàn tất thuyết phục để ngăn nạn nhân trở nên nghi ngờ. Trong khi đó, mã độc thu thập các tệp ví tiền điện tử, mật khẩu trình duyệt đã lưu, dữ liệu phiên Telegram, khóa SSH, ghi chú Apple và lịch sử duyệt web.
Cài Đặt Backdoor Duy Trì Quyền Truy Cập
Ngoài việc đánh cắp thông tin xác thực, nhóm tấn công còn cài đặt nhiều backdoor để duy trì quyền truy cập dài hạn. Một thành phần có tên com.apple.cli hoạt động như một công cụ giám sát máy chủ, liên tục kiểm tra máy chủ của kẻ tấn công. Một backdoor tiên tiến hơn có tên icloudz tải mã trực tiếp vào bộ nhớ, để lại ít dấu vết trên đĩa và khiến các công cụ bảo mật khó phát hiện hơn đáng kể. Mã độc cài đặt một daemon khởi động tự động khởi động lại backdoor sau mỗi lần khởi động lại hệ thống. Toàn bộ dữ liệu bị đánh cắp được nén thành các tệp lưu trữ và tải lên các máy chủ do kẻ tấn công kiểm soát qua cổng 8443, trong khi thông tin xác thực được gửi riêng biệt qua Telegram Bot API.
Cập Nhật Lure và Khuyến Nghị Bảo Mật
Vào tháng 6 năm 2026, Microsoft lưu ý rằng nhóm tấn công đã giới thiệu một lure (mồi nhử) mang chủ đề Microsoft Teams với các tên payload được cập nhật, tiếp tục chuỗi tấn công tương tự dưới những lớp ngụy trang mới. Microsoft khuyên người dùng không bao giờ chạy các tập lệnh hoặc lệnh terminal được chia sẻ qua tin nhắn trò chuyện mà không có sự chấp thuận từ đội ngũ IT đáng tin cậy. Các tổ chức nên chặn các tệp AppleScript đã biên dịch được tải xuống từ internet và giám sát các thay đổi trái phép đối với cơ sở dữ liệu TCC của macOS. Bất kỳ ai quản lý tài sản tiền điện tử nên dựa vào ví phần cứng và thường xuyên xoay vòng thông tin xác thực được lưu trữ trong trình duyệt. Việc nâng cao nhận thức về các kỹ thuật social engineering là cực kỳ quan trọng để phòng chống các mối đe dọa này.
Chỉ Số Tấn Công (Indicators of Compromise – IOCs)
Các địa chỉ IP và tên miền được cố tình làm mất hiệu lực (ví dụ: [.]). Chỉ giải quyết lại hoặc tạo siêu liên kết trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- IP Addresses: (redacted)
- Domains: (redacted)
- User Agents: (redacted)
- File Hashes: (redacted)
Để phòng ngừa hiệu quả, người dùng nên cập nhật bản vá bảo mật thường xuyên và cảnh giác với các yêu cầu thông tin nhạy cảm, đặc biệt là khi liên quan đến cập nhật phần mềm hoặc lời mời làm việc. Việc hiểu rõ các chiến thuật tấn công như thế này giúp tăng cường khả năng phát hiện tấn công và bảo vệ hệ thống khỏi các mối đe dọa mạng tiềm ẩn.
Các biện pháp bảo vệ bao gồm việc sử dụng xác thực đa yếu tố (MFA), giám sát hoạt động mạng bất thường, và đào tạo nhận thức về an ninh mạng cho nhân viên. Việc áp dụng các bản vá bảo mật kịp thời là một phần quan trọng trong chiến lược an ninh mạng tổng thể.
Tham khảo thêm chi tiết về chiến dịch này tại báo cáo của Microsoft: Microsoft Security Blog.
