Bạn có nghĩ macOS của Apple là hệ điều hành an toàn tuyệt đối? Các tin tặc Triều Tiên vừa chứng minh điều ngược lại. Họ đã triển khai chiến dịch tấn công tinh vi nhắm vào người dùng macOS bằng kỹ thuật AppleScript và ClickFix hoàn toàn mới. Mục tiêu chính của cuộc tấn công này là các tổ chức tài chính, bao gồm các công ty tiền điện tử, quỹ đầu tư mạo hiểm và các thực thể blockchain. Chúng tôi cho rằng đây là bước chuyển mình đáng lo ngại trong chiến lược tấn công của các nhóm hacker quốc gia.

Khi "Quả táo" trở thành mục tiêu béo bở

AppleScript là ngôn ngữ lập trình tự động hóa có sẵn trên macOS, cho phép người dùng điều khiển các ứng dụng và hệ thống. Tin tặc Triều Tiên đã khai thác chính công cụ này để thực hiện các hành vi độc hại mà không bị hệ thống phát hiện. Họ kết hợp AppleScript với kỹ thuật ClickFix - một phương pháp lừa đảo khiến nạn nhân tự tay nhấn vào các liên kết hoặc tải xuống tập tin độc hại.

Điều đáng quan ngại là các cuộc tấn công này không phải ngẫu nhiên. Chúng tôi nhận thấy tin tặc đã nghiên cứu kỹ lưỡng về hệ sinh thái macOS và các thói quen sử dụng của người dùng trong lĩnh vực tài chính. Việc tập trung vào các tổ chức tiền điện tử và blockchain cho thấy động機 rõ ràng: kiếm tiền và thu thập thông tin tình báo kinh tế.

Giải mã chiến thuật tấn công "hai mặt dao"

Kỹ thuật ClickFix hoạt động theo nguyên lý social engineering (kỹ thuật tâm lý học xã hội), lợi dụng tâm lý tò mò và sự thiếu cảnh giác của người dùng. Nạn nhân sẽ nhận được email hoặc tin nhắn có vẻ hợp lệ, chứa liên kết hoặc file đính kèm được ngụy trang tinh vi. Khi người dùng tương tác, mã AppleScript sẽ được kích hoạt và thực hiện các lệnh trong nền mà không cần thông báo.

Theo phân tích của chúng tôi, các script độc hại có khả năng thu thập thông tin đăng nhập, chụp màn hình, đánh cắp dữ liệu từ ví tiền điện tử và thậm chí cài đặt backdoor (cửa hậu) để truy cập lâu dài. Điểm đáng lo ngại nhất là AppleScript có quyền truy cập sâu vào hệ thống, có thể điều khiển gần như mọi ứng dụng đang chạy trên máy Mac.

Cú sốc với cộng đồng crypto Việt Nam

Việt Nam đang là một trong những thị trường tiền điện tử phát triển nhanh nhất khu vực với hơn 16% dân số sở hữu crypto theo báo cáo của Chainalysis 2023. Con số này khiến cộng đồng crypto Việt trở thành mục tiêu tiềm năng của các cuộc tấn công tương tự. Nhiều nhà đầu tư và trader Việt Nam ưa chuộng sử dụng macOS vì cho rằng nó an toàn hơn Windows.

Chúng tôi đánh giá tác động của chiến dịch này có thể lan rộng sang Việt Nam thông qua các sàn giao dịch quốc tế và các quỹ đầu tư có liên kết với thị trường trong nước. Các công ty blockchain và fintech Việt Nam cũng cần nâng cao cảnh giác vì họ thường có quan hệ đối tác với các tổ chức nước ngoài đang bị nhắm mục tiêu.

Lá chắn phòng thủ cho người dùng Việt

Người dùng macOS tại Việt Nam cần thực hiện ngay những bước sau để bảo vệ bản thân. Đầu tiên, vào System Preferences > Security & Privacy > Privacy > Automation và kiểm tra danh sách ứng dụng được phép chạy AppleScript. Loại bỏ những ứng dụng không quen thuộc hoặc không cần thiết. Tiếp theo, cài đặt phần mềm antivirus chuyên dụng cho macOS như Malwarebytes hoặc Bitdefender thay vì tin tưởng hoàn toàn vào bảo mật tích hợp.

Đặc biệt quan trọng, các nhà đầu tư crypto cần sử dụng hardware wallet (ví cứng) để lưu trữ tài sản số thay vì để trên máy tính. Bật xác thực hai yếu tố (2FA) cho tất cả tài khoản liên quan đến tài chính và crypto. Cuối cùng, hãy cập nhật macOS lên phiên bản mới nhất và tuyệt đối không click vào liên kết hoặc tải file từ email không rõ nguồn gốc, dù chúng trông có vẻ đáng tin cậy đến đâu.