Một chiến dịch mã độc mới nhắm vào môi trường macOS, bị nghi do nhóm tin tặc Lazarus thực hiện, vừa được phát hiện. Mục tiêu không chỉ là các công ty tiền mã hóa mà còn mở rộng sang doanh nghiệp ngoài ngành và các công ty fintech.

Theo Cointelegraph ngày 22/4 (giờ địa phương), chiến dịch này sử dụng thư mời họp trực tuyến giả kết hợp kỹ nghệ xã hội để dẫn dụ nạn nhân tự chạy lệnh trên thiết bị.

Các nhà nghiên cứu bảo mật đặt tên bộ công cụ mã độc mới là “Mach-O Man”. Mã độc được phát tán thông qua mồi nhử dạng “ClickFix”, khiến nạn nhân tưởng mình đang tham gia một cuộc họp Zoom hoặc Google Meet, rồi làm theo hướng dẫn để tự thực thi các lệnh độc hại.

Trong báo cáo công bố cùng ngày, Mauro Eldritch, nhà sáng lập BCA, cho biết cách thức này cho phép kẻ tấn công âm thầm tải mã độc chạy nền, né tránh phát hiện và vượt qua các cơ chế kiểm soát bảo mật truyền thống.

Nếu xâm nhập thành công, tin tặc có thể đánh cắp thông tin đăng nhập và giành quyền truy cập vào hệ thống nội bộ của doanh nghiệp nạn nhân. Nhóm nghiên cứu cảnh báo chiến dịch này có thể dẫn tới chiếm đoạt tài khoản, truy cập trái phép vào hạ tầng, thiệt hại tài chính và rò rỉ dữ liệu quan trọng. Đáng chú ý, phạm vi mục tiêu của Lazarus đang mở rộng từ các doanh nghiệp thuần tiền mã hóa sang nhiều lĩnh vực khác.

Ở giai đoạn cuối, mã độc triển khai một chương trình chuyên đánh cắp thông tin. Công cụ này được thiết kế để thu thập dữ liệu từ các tiện ích mở rộng trình duyệt, thông tin đăng nhập đã lưu, cookie, dữ liệu lưu trong Keychain của macOS và nhiều thông tin nhạy cảm khác. Sau đó, toàn bộ dữ liệu được nén lại và gửi cho kẻ tấn công qua Telegram.

Theo nhóm nghiên cứu, quy trình xóa dấu vết cũng được tự động hóa. Mã độc sử dụng lệnh rm của hệ thống để tự xóa toàn bộ bộ công cụ, đồng thời bỏ qua các bước xác nhận của người dùng hoặc thủ tục cấp quyền thường xuất hiện khi xóa tệp. Điều này cho thấy kẻ tấn công không chỉ tính toán khâu xâm nhập và đánh cắp dữ liệu, mà còn chuẩn bị kỹ cho việc che giấu hoạt động sau tấn công.

Bộ công cụ mã độc lần này được tái dựng nhờ tính năng phân tích macOS của nền tảng sandbox đám mây Any.run. Từ đó, nhóm nghiên cứu xác định được toàn bộ chuỗi tấn công và kênh dữ liệu bị đưa ra ngoài.

Lazarus từ lâu liên tục bị nhắc tên trong các vụ tấn công lớn nhằm vào lĩnh vực tiền mã hóa. Nhóm này cũng được cho là đứng sau vụ hack Bybit năm 2025, với thiệt hại 1,4 tỷ USD, hiện là vụ tấn công lớn nhất của ngành.

Trong tháng này, các vụ tấn công sử dụng kỹ nghệ xã hội tương tự cũng tiếp diễn. Zerion cho biết sau khi một số thành viên bị chiếm quyền phiên đăng nhập cùng thông tin xác thực và quyền truy cập khóa riêng của công ty, khoảng 100.000 USD đã bị đánh cắp. Vụ việc được cho là có sử dụng kỹ nghệ xã hội kết hợp trí tuệ nhân tạo.

Diễn biến mới nhất cho thấy môi trường làm việc dựa trên máy Mac không còn là lựa chọn mặc nhiên an toàn. Khi mô hình tấn công kết hợp thư mời họp trực tuyến giả, xác thực qua trình duyệt và kênh gửi dữ liệu qua ứng dụng nhắn tin đã được xác nhận, nhu cầu rà soát bảo mật thiết bị đầu cuối và quản trị tài khoản tại các doanh nghiệp tiền mã hóa, fintech đang tăng lên.