Bạn có bao giờ tự hỏi liệu thông báo cập nhật bảo mật từ Apple có thể là một cái bẫy không? Một biến thể mới của malware SHub vừa xuất hiện đã chứng minh rằng ngay cả những người dùng Mac cẩn thận nhất cũng có thể bị lừa. Phần mềm độc hại này sử dụng AppleScript để tạo ra thông báo cập nhật bảo mật Apple giả mạo hoàn hảo, sau đó cài đặt backdoor vào hệ thống. Chúng tôi cho rằng đây là một trong những chiến thuật tinh vi nhất từng được ghi nhận nhắm vào hệ sinh thái macOS.

Chiến thuật lừa đảo tinh vi chưa từng có

SHub infostealer (phần mềm đánh cắp thông tin) đã phát triển thành một mối đe dọa đáng lo ngại với khả năng giả mạo giao diện Apple. Khi được kích hoạt, malware sử dụng AppleScript - một ngôn ngữ lập trình tự động hóa của Apple - để hiển thị cửa sổ thông báo cập nhật bảo mật trông hoàn toàn giống với thông báo chính thức. Điều đáng lo ngại là giao diện này sử dụng logo, màu sắc và font chữ chính xác như Apple, khiến người dùng khó có thể phân biệt được đâu là thật đâu là giả.

Thay vì chỉ dừng lại ở việc hiển thị thông báo giả, SHub còn tạo ra một quy trình cài đặt hoàn chỉnh kèm theo thanh progress bar (thanh tiến trình) và các thông điệp cập nhật trạng thái. Chúng tôi phân tích mã nguồn cho thấy kẻ tấn công đã đầu tư đáng kể thời gian để nghiên cứu user experience (trải nghiệm người dùng) của Apple nhằm tạo ra sản phẩm giả mạo hoàn hảo. Trong khi người dùng tin rằng hệ thống đang được cập nhật bảo mật, thực chất backdoor đang được cài đặt âm thầm.

Phẫu thuật mã độc: kỹ thuật AppleScript được vũ khí hóa

AppleScript vốn là công cụ hợp pháp được Apple tích hợp sẵn trong macOS để tự động hóa các tác vụ hệ thống. Tuy nhiên, SHub đã biến công cụ này thành vũ khí tấn công bằng cách lạm dụng quyền truy cập hệ thống của AppleScript. Khi malware chạy script, nó có thể truy cập vào System Preferences (Tùy chọn Hệ thống), hiển thị dialog box (hộp thoại) giả mạo và thậm chí yêu cầu mật khẩu administrator (quản trị viên) một cách hợp pháp.

Điểm đáng chú ý là SHub không cần jailbreak hay bypass (vượt qua) các cơ chế bảo mật của macOS. Thay vào đó, nó hoạt động hoàn toàn trong khuôn khổ cho phép của hệ điều hành, khiến các phần mềm antivirus (chống virus) khó phát hiện. Chúng tôi đánh giá đây là một bước tiến đáng lo ngại trong xu hướng malware "living off the land" - sử dụng các công cụ có sẵn của hệ thống để tấn công thay vì mang theo payload (tải trọng) độc hại rõ ràng.

Tác động nghiêm trọng đến cộng đồng Mac toàn cầu

Theo dữ liệu từ các nhà nghiên cứu bảo mật, macOS hiện chiếm khoảng 15-20% thị phần desktop toàn cầu, tương đương hàng trăm triệu thiết bị có thể bị ảnh hưởng. Tại Việt Nam, mặc dù người dùng Mac chỉ chiếm khoảng 5-8% thị phần, nhưng đây thường là các cá nhân và doanh nghiệp có giá trị tài sản kỹ thuật số cao. SHub có khả năng đánh cắp mật khẩu, cookie trình duyệt, thông tin thẻ tín dụng và truy cập vào các ứng dụng tài chính.

Chúng tôi lo ngại rằng thành công của SHub sẽ tạo ra làn sóng bắt chước từ các nhóm cybercriminal (tội phạm mạng) khác. Việc khai thác AppleScript để tạo social engineering attack (tấn công kỹ thuật xã hội) mở ra một vector tấn công hoàn toàn mới mà cộng đồng bảo mật chưa chuẩn bị đầy đủ biện pháp ứng phó.

Hướng dẫn bảo vệ khẩn cấp cho người dùng Mac

Người dùng cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên, tuyệt đối không click vào bất kỳ thông báo cập nhật nào xuất hiện bất ngờ, thay vào đó hãy truy cập System Preferences > Software Update để kiểm tra cập nhật chính thức. Thứ hai, kích hoạt Gatekeeper và XProtect bằng cách vào System Preferences > Security & Privacy và đảm bảo tất cả các tùy chọn bảo mật được bật. Thứ ba, cài đặt các phần mềm antivirus uy tín như Malwarebytes, Bitdefender hoặc Kaspersky có hỗ trợ phát hiện AppleScript malicious (độc hại).

Đối với doanh nghiệp Việt Nam sử dụng Mac trong môi trường corporate (doanh nghiệp), chúng tôi khuyến nghị triển khai Mobile Device Management (MDM) để kiểm soát centralized (tập trung) việc cài đặt phần mềm. Đồng thời, tổ chức training (đào tạo) định kỳ về nhận biết social engineering cho nhân viên, đặc biệt tập trung vào các kịch bản giả mạo thông báo hệ thống. Cuối cùng, thiết lập network monitoring (giám sát mạng) để phát hiện các kết nối bất thường từ thiết bị Mac ra internet, đặc biệt là các domain (tên miền) đáng ngờ hoặc chưa được phân loại.