Theo Cryptopolitan vào ngày 11 tháng 5, nhóm nghiên cứu bảo mật của Microsoft Defender đã công bố kết quả điều tra, phát hiện kẻ tấn công từ cuối năm 2025 đã đăng các hướng dẫn khắc phục lỗi giả mạo macOS trên các nền tảng như Medium và Craft, nhằm dụ người dùng thực thi lệnh độc hại trong Terminal để từ đó cài đặt phần mềm độc hại nhằm đánh cắp khóa ví tiền mã hóa, dữ liệu iCloud và mật khẩu đã lưu trong trình duyệt.
Cơ chế tấn công: ClickFix vượt qua macOS Gatekeeper
Theo báo cáo của nhóm nghiên cứu bảo mật Microsoft Defender, kẻ tấn công sử dụng kỹ thuật lừa đảo xã hội có tên ClickFix: đăng các hướng dẫn khắc phục lỗi macOS được ngụy trang như “giải phóng dung lượng đĩa” hoặc “sửa lỗi hệ thống” trên các nền tảng như Medium, Craft và Squarespace, nhằm hướng dẫn người dùng sao chép lệnh độc hại và dán vào macOS Terminal; sau khi lệnh được thực thi, phần mềm độc hại sẽ tự động tải xuống và khởi động.
Theo báo cáo của Microsoft, thủ pháp này vượt qua cơ chế bảo mật macOS Gatekeeper vì Gatekeeper áp dụng xác thực chữ ký mã và quy trình công chứng đối với các ứng dụng được mở thông qua Finder, nhưng cách người dùng trực tiếp chạy lệnh trong Terminal không bị ràng buộc bởi bước xác thực này. Các nhà nghiên cứu cũng phát hiện kẻ tấn công dùng curl, osascript và các công cụ gốc khác của macOS để thực thi mã độc trực tiếp trong bộ nhớ (tấn công không cần tệp), khiến các công cụ chống virus tiêu chuẩn khó phát hiện.
Họ phần mềm độc hại, phạm vi đánh cắp và cơ chế đặc biệt
Theo báo cáo của Microsoft, hoạt động tấn công này liên quan đến ba họ phần mềm độc hại (AMOS, Macsync, SHub Stealer) và ba loại trình cài đặt (Loader, Script, Helper), nhắm vào các dữ liệu mục tiêu sau:
Khóa ví tiền mã hóa: Exodus, Ledger, Trezor
Thông tin xác thực tài khoản: iCloud, Telegram
Mật khẩu lưu trên trình duyệt: Chrome, Firefox
Tệp và ảnh cá nhân: tệp cục bộ nhỏ hơn 2 MB
Sau khi cài đặt, phần mềm độc hại sẽ hiển thị hộp thoại giả mạo, yêu cầu người dùng nhập mật khẩu hệ thống để cài đặt “công cụ hỗ trợ”; nếu người dùng nhập mật khẩu, kẻ tấn công sẽ có quyền truy cập đầy đủ vào tệp và cấu hình hệ thống. Microsoft cũng cho biết, trong một số trường hợp, kẻ tấn công xóa các ứng dụng hợp pháp như Trezor Suite, Ledger Wallet và Exodus, rồi thay thế bằng các phiên bản cài mã Trojan để giám sát giao dịch và đánh cắp tiền. Ngoài ra, các chương trình được tải bởi phần mềm độc hại còn bao gồm công tắc dừng: nếu phát hiện bố cục bàn phím tiếng Nga, phần mềm độc hại sẽ tự động ngừng thực thi.
Hoạt động tấn công liên quan và biện pháp phòng vệ của Apple
Theo điều tra của các chuyên gia bảo mật ANY.RUN, Lazarus Group đã phát động chiến dịch tin tặc mang tên “Mach-O Man”, sử dụng kỹ thuật tương tự ClickFix, thông qua việc giả mạo lời mời họp để nhắm vào các công ty fintech và tiền mã hóa có macOS là hệ điều hành chính.
Cryptopolitan cũng đưa tin rằng, tổ chức tin tặc Triều Tiên Famous Chollima sử dụng AI để tạo mã, cấy gói npm độc hại vào các dự án giao dịch tiền mã hóa; phần mềm độc hại này áp dụng kiến trúc che giấu hai lớp, nhằm đánh cắp dữ liệu ví và thông tin mật của hệ thống.
Theo báo cáo, Apple đã bổ sung cơ chế phòng vệ trong phiên bản macOS 26.4, nhằm ngăn việc dán các lệnh bị đánh dấu là có khả năng độc hại vào Terminal của macOS.
Câu hỏi thường gặp
Hoạt động tấn công ClickFix trên macOS được Microsoft Defender tiết lộ bắt đầu từ khi nào và được đăng ở những nền tảng nào?
Theo báo cáo của nhóm nghiên cứu bảo mật Microsoft Defender và Cryptopolitan ngày 11 tháng 5 năm 2026, hoạt động tấn công trở nên sôi động từ cuối năm 2025; kẻ tấn công đăng các hướng dẫn khắc phục lỗi macOS giả mạo trên các nền tảng như Medium, Craft và Squarespace, nhằm dụ người dùng Mac thực thi lệnh độc hại trong Terminal.
Hoạt động tấn công này nhắm đến những ví tiền mã hóa và kiểu dữ liệu nào?
Theo báo cáo của Microsoft, phần mềm độc hại (AMOS, Macsync, SHub Stealer) có thể đánh cắp khóa ví của Exodus, Ledger và Trezor, dữ liệu tài khoản iCloud và Telegram, cũng như tên người dùng và mật khẩu được lưu trong Chrome và Firefox.
Apple đã tung ra những biện pháp phòng vệ nào cho kiểu tấn công này?
Theo báo cáo, Apple đã bổ sung cơ chế phòng vệ trong phiên bản macOS 26.4, nhằm ngăn các lệnh được đánh dấu là có khả năng độc hại được dán vào Terminal của macOS, qua đó giảm tỷ lệ thành công của các cuộc tấn công lừa đảo xã hội kiểu ClickFix.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
FSI của Hàn Quốc ra mắt công cụ xác minh bảo mật hợp đồng thông minh, thúc đẩy 3 dự án
Theo Edaily, Viện An ninh Tài chính Hàn Quốc (FSI) hôm nay đã công bố việc phát triển một công cụ riêng để kiểm chứng bảo mật hợp đồng thông minh và triển khai ba sáng kiến lớn, bao gồm xây dựng hệ thống kiểm chứng hợp đồng thông minh và đào tạo nhân tài số hóa tài sản. Công cụ kiểm chứng sẽ tự động phát hiện các lỗ hổng lớn trong hợp đồng thông minh được dùng cho chứng khoán token, stablecoin và các dịch vụ tài sản số khác, tập trung vào các nhóm lỗ hổng rủi ro cao như tấn công reentrancy, sai
GateNews40phút trước
Nhà phát triển Wagyu phủ nhận vụ rug pull XMR1, làm rõ việc rút tiền qua Terminal
Theo Foresight News, nhà phát triển Wagyu PerpetualCow cho biết người nắm giữ token XMR1 có thể rút tiền thông qua Terminal thay vì giao diện cross-chain cũ, đồng thời bác bỏ các cáo buộc Rug Pull gần đây. Nhà phát triển cho biết chưa có người dùng nào phản ánh thất bại khi rút tiền, và giao diện swap đã nêu rõ phương thức rút tiền đúng ngay từ trước. Trước đó, cộng đồng từng lo ngại rằng Wagyu giống một Rug Pull, với các khoản tiền gửi XMR có thể bị khóa và xuất hiện các chỉ báo Honeypot. XMR1
GateNews2giờ trước
Triển khai Renegade V1 trên Arbitrum bị tấn công, mất 209 nghìn USD; hacker mũ trắng hoàn trả 190 nghìn USD
Theo tuyên bố chính thức của Renegade trên X, bản triển khai Arbitrum V1 (legacy) của giao thức đã bị tấn công vào sáng sớm nay (11/5), dẫn đến thiệt hại khoảng 209.000 USD. Một hacker mũ trắng đã hoàn trả khoảng 190.000 USD, và đội ngũ xác nhận rằng mọi người dùng bị ảnh hưởng sẽ được bồi thường đầy đủ. Đội ngũ xác nhận lỗ hổng chỉ tồn tại trong bản triển khai Arbitrum V1; các bản triển khai V1 Base, V2 Arbitrum và V2 Base vẫn an toàn. Tất cả hạ tầng hỗ trợ các giao dịch của V1 Arbitrum đã bị t
GateNews3giờ trước
USDT0 công bố cơ chế xác thực 3/3 và chương trình thưởng lỗi $6M sau sự cố Kelp
Theo Foresight News, USDT0, giao thức tương tác tài sản của Tether, đã công bố chi tiết kiến trúc bảo mật sau sự cố Kelp. Giao thức sử dụng mạng xác minh phi tập trung (DVN) độc quyền với quyền phủ quyết tin nhắn và yêu cầu ba trình xác thực độc lập dựa trên các bộ mã khác nhau để đạt đồng thuận 3/3 trước khi các tin nhắn xuyên chuỗi được xử lý. Các nút trình xác thực hiện tại bao gồm DVN độc quyền của USDT0, LayerZero và Canary. USDT0 cũng đã khởi động chương trình thưởng tìm lỗi trị giá 6 triệ
GateNews4giờ trước
Microsoft Phát hiện chiến dịch lừa đảo trên macOS nhắm vào các ví Exodus, Ledger và Trezor kể từ cuối năm 2025
Theo nhóm nghiên cứu an ninh của Microsoft, từ cuối năm 2025, các đối tượng tấn công đã phát tán các hướng dẫn giả mạo xử lý sự cố macOS trên nhiều nền tảng, bao gồm Medium, Craft và Squarespace, nhằm lừa người dùng chạy các lệnh terminal độc hại. Các lệnh này sẽ tải xuống và thực thi phần mềm độc hại được thiết kế để đánh cắp khóa ví tiền mã hóa từ Exodus, Ledger và Trezor, đồng thời lấy dữ liệu iCloud và mật khẩu đã lưu từ Chrome và Firefox. Các họ mã độc liên quan gồm AMOS, Macsync và SHub St
GateNews4giờ trước
LayerZero đưa ra lời xin lỗi công khai cho phản hồi vụ khai thác của Kelp DAO, thừa nhận lỗi một bộ xác minh duy nhất trong DVN
Theo LayerZero, giao thức đã ra lời xin lỗi công khai vào thứ Sáu về cách xử lý vụ khai thác ngày 18 tháng 4, khiến 292 triệu USD ở rsETH bị rút khỏi cầu nối chuỗi chéo của Kelp DAO, đánh dấu sự thay đổi đáng kể về giọng điệu so với bài đăng hậu kiểm trước đó. LayerZero thừa nhận rằng mạng xác minh phi tập trung (Decentralized Verifier Network, DVN) của họ không nên đóng vai trò là bộ xác minh duy nhất cho các giao dịch giá trị cao, nêu rõ: “Chúng tôi đã mắc sai lầm khi cho phép DVN của mình hoạ
GateNews4giờ trước
