Chiến dịch ClickFix trên macOS đánh cắp dữ liệu trình duyệt, ví tiền điện tử và mật khẩu

Một chiến dịch ClickFix mới đang nhắm vào người dùng macOS, sử dụng các kỹ thuật xã hội tinh vi để triển khai phần mềm đánh cắp thông tin (infostealer) dựa trên AppleScript. Theo các nhà nghiên cứu tại Netskope Threat Labs, phần mềm độc hại này được thiết kế để thu thập thông tin đăng nhập, cookie phiên làm việc và dữ liệu nhạy cảm từ hàng loạt nguồn.

Chiến dịch này đặc biệt nguy hiểm vì nó đánh lừa người dùng tự thực thi các lệnh độc hại trên máy tính của mình, thay vì dựa vào các lỗ hổng phần mềm truyền thống.

Cơ chế hoạt động của cuộc tấn công

ClickFix là một chiến thuật lừa đảo phổ biến, trong đó kẻ tấn công tạo ra các trang web giả mạo hoặc cửa sổ bật lên yêu cầu người dùng thực hiện một hành động "sửa lỗi" hoặc "xác minh". Trong trường hợp này, nạn nhân thường được điều hướng đến một trang CAPTCHA giả mạo.

Sau khi phát hiện môi trường máy tính để bàn (bỏ qua thiết bị di động), mã độc sẽ chuyển hướng người dùng đến tải trọng dành riêng cho macOS. Quy trình tấn công diễn ra như sau:

• Người dùng được yêu cầu mở tính năng Spotlight trên Mac.
• Một "mã xác minh" được cung cấp để người dùng dán vào ô tìm kiếm.
• Thực chất, mã này là một lệnh curl độc hại. Khi người dùng nhấn Enter, lệnh này sẽ âm thầm tải xuống một tập lệnh độc hại từ máy chủ của kẻ tấn công.

Lừa đảo lấy mật khẩu và thu thập dữ liệu

Sau khi được tải xuống, tập lệnh sẽ tạo một thư mục tạm tại /tmp/xdivcmp/ để chuẩn bị gửi dữ liệu về máy chủ chỉ huy (C2). Tuy nhiên, bước nguy hiểm nhất là việc lấy quyền truy cập quản trị.

Malware sử dụng một hộp thoại giả mạo cực kỳ tinh vi, tải biểu tượng khóa hệ thống từ tài nguyên cục bộ của macOS để tạo cảm giác đáng tin cậy. Hộp thoại này chỉ có một nút bấm và không thể đóng, buộc người dùng phải nhập mật khẩu hệ thống. Mật khẩu được xác thực thời gian thực và hộp thoại sẽ liên tục xuất hiện cho đến khi người dùng nhập đúng.

Khi đã có mật khẩu, phần mềm này sẽ trích xuất toàn bộ dữ liệu từ Keychain của macOS (nơi lưu trữ mật khẩu, thông tin Wi-Fi và khóa mã hóa).

Phạm vi dữ liệu bị đánh cắp

Mức độ thoroughness của phần mềm đánh cắp này là rất lớn. Nó nhắm vào:

• 14 trình duyệt web: Bao gồm Chrome, Brave, Edge, Vivaldi, Opera, Arc, và đặc biệt là CocCoc (phổ biến tại Việt Nam). Nó lấy cắp cookie, mật khẩu đã lưu, thông tin tự điền và thẻ tín dụng.
• Tiện ích mở rộng: Hơn 200 tiện ích trên trình duyệt là mục tiêu, bao gồm các tiện ích quản lý mật khẩu (LastPass, 1Password, Bitwarden), xác thực hai yếu tố (Authy, Google Authenticator) và VPN doanh nghiệp.
• Ví tiền điện tử: 16 ứng dụng ví tiền ảo độc lập như Exodus, Atomic, Electrum, Ledger Live, Trezor Suite, và dữ liệu từ các tiện ích ví trên trình duyệt như MetaMask, Phantom, Coinbase Wallet.

Ngoài ra, malware cũng đánh cắp dữ liệu từ các trình duyệt dựa trên Firefox như Waterfox.

Cách phòng tránh

Netskope lưu ý rằng các phiên bản macOS mới nhất, bao gồm macOS Sequoia và macOS Tahoe (26.4), đã tích hợp tính năng bảo vệ mới. Tính năng này sẽ cảnh báo người dùng khi họ cố gắng dán các lệnh có khả năng độc hại vào ứng dụng Terminal.

Để bảo vệ mình, người dùng nên:

• Cập nhật hệ điều hành lên phiên bản mới nhất để kích hoạt các lớp bảo vệ này.
• Không bao giờ dán các lệnh không rõ nguồn gốc vào Spotlight hoặc Terminal.
• Luôn kiểm tra kỹ các hộp thoại yêu cầu nhập mật khẩu hệ thống, đặc biệt là nếu chúng xuất hiện bất ngờ khi đang duyệt web.

Chiến dịch này là một lời nhắc nhở rõ ràng rằng kỹ thuật xã hội vẫn là mối đe dọa hàng đầu đối với cả người dùng Windows và macOS, bất kể nền tảng nào an toàn hơn về mặt lý thuyết.