Bạn có nghĩ macOS an toàn tuyệt đối khỏi các cuộc tấn công từ Bắc Hàn? Nhóm hacker khét tiếng Lazarus vừa đập tan niềm tin này bằng chiến dịch tấn công tinh vi nhắm thẳng vào các lãnh đạo cấp cao đang sử dụng macOS. Họ sử dụng kỹ thuật ClickFix - một phương thức lừa đảo khiến nạn nhân tự tay cài đặt malware. Điều đáng lo ngại nhất không phải là khả năng kỹ thuật, mà là việc họ đang có kế hoạch săn lùng những mục tiêu có giá trị cao trong các tổ chức tập trung vào macOS.

Chiến thuật ClickFix: Khi nạn nhân trở thành đồng phạm

ClickFix không phải là malware truyền thống mà là một kỹ thuật social engineering (kỹ thuật tâm lý) cực kỳ tinh vi. Thay vì cố gắng khai thác lỗ hổng kỹ thuật, nhóm Lazarus tạo ra các trang web giả mạo hiển thị thông báo lỗi hệ thống hoặc cảnh báo bảo mật. Nạn nhân sẽ thấy hướng dẫn "khắc phục" bằng cách copy đoạn script và chạy trong Terminal của macOS. Chúng tôi cho rằng đây là bước tiến nguy hiểm trong chiến thuật của các nhóm APT (Advanced Persistent Threat - mối đe dọa dai dẳng cao cấp).

Điều khiến ClickFix trở nên đáng sợ là nó bỏ qua hoàn toàn các biện pháp bảo mật kỹ thuật. Không có antivirus nào có thể ngăn chặn khi chính nạn nhân tự tay thực thi mã độc. Script được thiết kế chạy ngầm, thu thập thông tin nhạy cảm và tạo backdoor (cửa hậu) để truy cập lâu dài. Theo đánh giá của chúng tôi, đây chính là lý do nhóm Lazarus lựa chọn phương thức này để nhắm vào những mục tiêu giá trị cao thường có ý thức bảo mật tốt hơn.

Tại sao macOS trở thành mục tiêu béo bở?

Trong nhiều năm, macOS được coi là "pháo đài bất khả xâm phạm" so với Windows. Thống kê cho thấy các lãnh đạo cấp cao, đặc biệt trong ngành công nghệ và tài chính, thường ưa chuộng macOS vì danh tiếng về bảo mật. Chính điều này khiến họ trở thành mục tiêu hấp dẫn với các nhóm hacker nhà nước như Lazarus. Dữ liệu từ các công ty bảo mật quốc tế cho thấy tỷ lệ tấn công nhắm vào macOS đã tăng 165% trong năm qua.

Nhóm Lazarus - được cho là hoạt động dưới sự chỉ đạo của Cục Trinh sát Tổng hợp Bắc Hàn - từng đứng sau vụ tấn công Sony Pictures (2014) và nhiều vụ trộm tiền điện tử trị giá hàng tỷ đô la. Việc họ chuyển hướng sang macOS cho thấy chiến lược dài hạn nhằm tiếp cận những thông tin tình báo kinh tế có giá trị từ các CEO, CTO và lãnh đạo công nghệ. Chúng tôi đánh giá đây là sự chuyển mình nguy hiểm trong cách thức hoạt động của các nhóm APT.

Tác động domino đối với doanh nghiệp Việt Nam

Tại Việt Nam, số lượng doanh nghiệp công nghệ và startup sử dụng macOS đang tăng nhanh, đặc biệt trong lĩnh vực fintech và blockchain. Theo báo cáo của Bộ TT&TT, có 42% lãnh đạo doanh nghiệp công nghệ Việt Nam sử dụng macOS làm thiết bị chính. Con số này khiến cộng đồng doanh nghiệp Việt trở thành mục tiêu tiềm năng của chiến dịch này.

Nguy cơ không chỉ dừng lại ở việc mất thông tin cá nhân. Khi một lãnh đạo cấp cao bị xâm nhập, toàn bộ hệ thống doanh nghiệp có thể bị ảnh hưởng thông qua lateral movement (di chuyển ngang). Hacker có thể truy cập email doanh nghiệp, tài liệu chiến lược, thông tin tài chính và thậm chí là dữ liệu khách hàng. Chúng tôi ước tính thiệt hại trung bình cho một doanh nghiệp vừa và nhỏ có thể lên tới 2,3 tỷ đồng nếu bị tấn công thành công.

Lá chắn bảo vệ: Hành động ngay hôm nay

Bước đầu tiên là nâng cao nhận thức cho toàn bộ ban lãnh đạo về kỹ thuật ClickFix. Tuyệt đối không copy-paste và chạy bất kỳ script nào từ website, ngay cả khi đó là trang web có vẻ uy tín. Thiết lập xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng, đặc biệt là email doanh nghiệp và các service cloud. Cài đặt giải pháp EDR (Endpoint Detection and Response) chuyên biệt cho macOS thay vì chỉ dựa vào Gatekeeper tích hợp.

Về mặt kỹ thuật, hãy vô hiệu hóa tự động chạy script trong Terminal bằng cách thiết lập policy phù hợp trong System Preferences. Thường xuyên kiểm tra Activity Monitor để phát hiện các process lạ. Quan trọng nhất, xây dựng quy trình incident response (ứng phó sự cố) cụ thể cho trường hợp nghi ngờ bị tấn công. Theo kinh nghiệm của chúng tôi, những doanh nghiệp có kế hoạch ứng phó sẵn sàng thường giảm được 70% thiệt hại khi xảy ra sự cố bảo mật.