Bạn có thể tưởng tượng việc chỉ một cú click vào thông báo "Cập nhật Zoom" sẽ khiến toàn bộ dữ liệu cá nhân trên MacBook bị đánh cắp? Nhóm hacker Sapphire Sleet từ Triều Tiên đang biến điều này thành hiện thực thông qua chiến dịch tấn công ClickFix nhằm vào người dùng macOS. Chúng tôi đã phát hiện ra một mô hình tấn công cực kỳ tinh vi, kết hợp giữa kỹ thuật tâm lý xã hội và công nghệ lừa đảo hiện đại. Điều đáng lo ngại nhất là các cuộc tấn công này đang ngày càng gia tăng và lan rộng.

Kịch bản lừa đảo hoàn hảo từ Bình Nhưỡng

Sapphire Sleet - nhóm hacker được cho là có liên hệ với chính phủ Triều Tiên - đã phát triển một chiến thuật tấn công hai mặt trận cực kỳ nguy hiểm. Mặt trận thứ nhất là việc gửi những email tuyển dụng hấp dẫn với mức lương cao, nhắm vào các chuyên gia công nghệ và tài chính. Mặt trận thứ hai là tạo ra các trang web giả mạo hoàn toàn giống giao diện Zoom, hiển thị thông báo "Phiên bản của bạn đã lỗi thời, cần cập nhật ngay lập tức".

Chúng tôi phân tích thấy, điểm tinh vi của chiến dịch này nằm ở việc khai thác tâm lý tin tưởng của người dùng đối với Zoom - ứng dụng họp trực tuyến phổ biến nhất hiện nay. Khi nhận được thông báo cập nhật, hầu hết người dùng sẽ không nghi ngờ và click vào nút "Update Now" mà không kiểm tra kỹ nguồn gốc. Đây chính là cửa ngõ để malware (phần mềm độc hại) xâm nhập vào hệ thống Mac được coi là an toàn.

Công nghệ ClickFix - vũ khí mới của tội phạm mạng

ClickFix là kỹ thuật tấn công tương đối mới, hoạt động dựa trên nguyên lý "fake it till you make it" - tạo ra giao diện giả mạo hoàn hảo đến mức người dùng không thể phân biệt được với bản gốc. Khi nạn nhân click vào nút cập nhật giả, một đoạn script (đoạn mã lệnh) sẽ được thực thi ngầm, tạo ra cửa sổ terminal hoặc command prompt với dòng lệnh có vẻ vô hại. Tuy nhiên, đây chính là bẫy để người dùng tự tay cài đặt malware vào máy tính của mình.

Theo phân tích kỹ thuật của chúng tôi, malware này có khả năng thu thập thông tin đăng nhập, mật khẩu được lưu trong trình duyệt, dữ liệu ví điện tử, và thậm chí cả thông tin tài khoản ngân hàng. Đặc biệt nguy hiểm, nó có thể hoạt động âm thầm trong nhiều tháng mà không bị phát hiện, liên tục gửi dữ liệu nhạy cảm về máy chủ điều khiển tại Triều Tiên. Điểm đáng lưu ý là malware này được thiết kế đặc biệt để vượt qua các biện pháp bảo mật tích hợp sẵn của macOS như Gatekeeper và XProtect.

Tác động toàn cầu và nguy cơ với Việt Nam

Mặc dù chưa có thống kê chính thức về số lượng nạn nhân tại Việt Nam, nhưng chúng tôi cho rằng nguy cơ là rất cao. Với việc làm việc từ xa ngày càng phổ biến, người dùng Việt Nam đang sử dụng Zoom với tần suất cao để họp trực tuyến, học online và giao tiếp kinh doanh. Điều này tạo ra môi trường lý tưởng để chiến dịch ClickFix phát triển mạnh.

Theo báo cáo của Bkav về tình hình an ninh mạng Việt Nam năm 2024, các cuộc tấn công nhắm vào người dùng cá nhân đã tăng 45% so với năm trước, trong đó tấn công qua email giả mạo chiếm 60%. Chúng tôi dự báo rằng kỹ thuật ClickFix sẽ sớm xuất hiện tại Việt Nam với các biến thể địa phương hóa, có thể sử dụng tên các ứng dụng phổ biến như Zalo, ViettelPay hay MoMo để tăng độ tin cậy.

Cách bảo vệ bản thân trước ClickFix

Để tự vệ trước kỹ thuật ClickFix, người dùng cần thực hiện ngay các bước sau: Thứ nhất, chỉ tải ứng dụng và cập nhật từ nguồn chính thức như App Store, trang web chính thức của nhà phát triển, tuyệt đối không click vào link cập nhật trong email hoặc pop-up bất ngờ. Thứ hai, bật tính năng "Show all filename extensions" trong Finder để có thể nhận biết file thực thi độc hại có đuôi .app, .dmg giả mạo. Thứ ba, kiểm tra certificate (chứng chỉ số) của ứng dụng trước khi cài đặt bằng cách right-click và chọn "Get Info".

Đối với doanh nghiệp, chúng tôi khuyến nghị triển khai ngay chính sách Zero Trust Network Access (ZTNA) - mô hình bảo mật không tin tưởng tuyệt đối, yêu cầu xác thực mọi kết nối. Đồng thời, tổ chức training định kỳ cho nhân viên về cách nhận biết email lừa đảo và social engineering (kỹ thuật lừa đảo tâm lý). Quan trọng nhất, cần deploy endpoint detection and response (EDR) solution để giám sát real-time các hoạt động bất thường trên từng thiết bị trong mạng công ty.