Ứng dụng giả, link quen, và cái bẫy nhắm vào người dùng macOS

Tổng quan

Trong nhiều năm trở lại đây, macOS thường được xem là một nền tảng ít bị nhắm tới bởi mã độc, phần lớn nhờ kiến trúc bảo mật chặt chẽ và hệ sinh thái khép kín của Apple. Tuy nhiên, bức tranh đó đang thay đổi nhanh chóng. Các nghiên cứu gần đây từ Microsoft Defender Security Research cho thấy một làn sóng infostealer mới đang chủ động tấn công người dùng macOS, với phạm vi trải rộng và kỹ thuật ngày càng thực dụng.

Thay vì khai thác các lỗ hổng zero-day phức tạp, các chiến dịch này tập trung vào social engineering, ứng dụng giả mạo và lạm dụng những nền tảng quen thuộc như WhatsApp để phát tán mã độc. Infostealer được phát triển bằng các ngôn ngữ đa nền tảng như Python, cho phép kẻ tấn công dễ dàng triển khai cùng một mô hình tấn công trên nhiều hệ điều hành, từ Windows đến macOS.

Mục tiêu của các chiến dịch không chỉ dừng lại ở việc đánh cắp mật khẩu, mà còn nhắm đến cookies phiên, token xác thực, thông tin ví tiền mã hóa và dữ liệu trình duyệt, những yếu tố có thể dẫn đến chiếm quyền tài khoản mà không cần biết mật khẩu. Điều này khiến infostealer trở thành mối đe dọa đặc biệt nguy hiểm trong bối cảnh người dùng ngày càng phụ thuộc vào dịch vụ đám mây và đăng nhập một lần (SSO).

Tác động chính

Mất quyền kiểm soát tài khoản mà không cần lộ mật khẩu
Rủi ro tài chính và tiền mã hóa ở mức cao
Mở đường cho các cuộc tấn công tiếp theo
Gia tăng nguy cơ lây lan trong cộng đồng người dùng
Thách thức lớn cho phát hiện và ứng phó

Chi tiết chiến dịch

Như đã nói từ đầu những kẻ tấn công thực hiện chiến dịch này bằng kỹ thuật social engineering, tại đây kẻ tấn công sử dụng hai kênh phát tán chính và song song:

Website giả mạo & quảng cáo độc hại
- Kẻ tấn công đã lợi dụng Google Ads và SEO poisoning để đẩy các website giả lên đầu kết quả tìm kiếm: Công cụ PDF, ứng dụng AI hoặc các phần mềm tiện ích cho macOS.
- Khi này người dùng sẽ bị dụ tải xuống các file dmg độc hại.

Lây lan qua WhatsApp (Trusted Channel Abuse)
- Để thỏa mã điều kiện lây lan này, kẻ tấn công sẽ cần có tài khoản WhatsApp bị chiếm quyền hoặc bị leak trên các diễn đàn mua bán thông tin.
- Sau khi đã có quyền chúng sẽ gửi link/file ZIP/DMG độc hại tới toàn bộ danh bạ với nội dung mang tính khẩn cấp hoặc quen thuộc. Đây là điểm khuếch đại chiến dịch, giúp malware lan nhanh theo mạng xã hội tin cậy.

Ngay sau khi đã tải các file dmg độc hại về máy trạm, người dùng sẽ được hướng dẫn:

Mở DMG.
Chạy installer giả.
Hoặc copy–paste lệnh vào Terminal (ClickFix technique).

Điểm hay của giai đoạn này là không hề có bất kỳ kỹ thuật tấn công nào mà nó sẽ được chạy bằng chính hành vi của User với việc tự cấp quyền thực thi.

Sau khi người dùng mở ứng dụng giả mạo (được kéo từ DMG vào /Applications). Ứng dụng có thể là:

.app bundle giả (bên trong là script Python / shell).
Binary mỏng (wrapper) chỉ để gọi script độc hại.

Khi này người dùng tự chủ động click Open điều này vô tình vượt qua Gatekeeper. Ngay sau khi chạy thì phần mềm độc hại sẽ gọi một trong các thành phần sau để tiếp tục quá trình khai thác:

python3, pythonw.
/bin/bash hoặc /bin/zsh.
AppleScript (osascript).

Payload chính thường được:

Nhúng sẵn trong app bundle (base64 / AES-encrypted)
Hoặc tải động từ C2/CDN (GitHub, Discord CDN, Cloudflare R2…)

Payload sau khi được giải mã bởi loader nó sẽ ghi ra các thư mục tạm:

/tmp/
~/Library/Application Support/
~/Library/Caches/

Việc đầu tiên của nó sẽ là kiểm tra môi trường máy nạn nhân như: phiên bản macos và các quyền truy cập rồi mới tiếp tục các bước khai thác sau. Một điểm nữa là mã độc cũng kiểm tra xem nó có đang chạy trong VM hoặc sandbox hay không.

Nếu phát hiện môi trường phân tích:

Payload tự thoát
Hoặc chạy nhánh “clean mode” (không steal)

Sau khi đã hoàn tất kiểm tra, Infostealer bắt đầu thu thập dữ liệu có giá trị cao. Đặc biệt là session token, có thể cho phép chiếm tài khoản mà không cần mật khẩu hoặc vượt qua MFA - cực kỳ nguy hiểm.

Keychain macOS.
Cookies & session token trình duyệt.
Saved passwords.
Ví crypto & extension liên quan.
Thông tin hệ thống (HWID, OS version).

Đối với bất kỳ một cuộc tấn công nào cũng vậy, dữ liệu sau khi đã được nén và mã hóa sẽ được những kẻ tấn công gửi về C2 Server thông qua các giao thức phổ biến: HTTPS hoặc curl POST request.

Các quá trình hậu khai thác sau đó cũng được thực thi, với việc đã có thông tin nhạy cảm của nạn nhân thì kẻ tấn công sẽ bán chúng trên chợ ngầm hoặc dùng để chiếm email nhằm phishing. Với WhatsApp sẽ được tái sử dụng để lan truyền malware.

Máy nạn nhân cũng có thể được dùng để cài thêm RAT. Máy trạm người dùng khi này cũng sẽ trở thành một bàn đạp hiệu quả để có thể thực hiện chiến dịch lâu dài sau này.

Kết luận

Chiến dịch infostealer without borders cho thấy một thực tế rõ ràng: macOS không còn đứng ngoài cuộc chơi của tội phạm mạng. Thay vì khai thác lỗ hổng kỹ thuật phức tạp, kẻ tấn công đang chọn con đường hiệu quả hơn - lợi dụng niềm tin của người dùng, các nền tảng quen thuộc như WhatsApp, và những ứng dụng trông hoàn toàn “vô hại”.

Điều đáng lo ngại không nằm ở mức độ tinh vi của mã độc, mà ở chỗ nhiều cuộc tấn công thành công chỉ cần một cú nhấp chuột sai lầm. Khi infostealer có thể đánh cắp phiên đăng nhập, cookies và khóa truy cập, ranh giới giữa “máy cá nhân” và “tài sản số quan trọng” gần như không còn tồn tại.

Khuyến nghị

THAY ĐỔI THÓI QUEN NGƯỜI DÙNG
- Không cài ứng dụng từ link gửi qua WhatsApp / Telegram / Messenger
- Không chạy lệnh Terminal “theo hướng dẫn web”
- Không tắt Gatekeeper / SIP chỉ để cài phần mềm
- Không tin quảng cáo Google Ads cho phần mềm miễn phí
Kiểm tra nhanh trước khi cài phần mềm (macOS)
- Kiểm tra chữ ký ứng dụng codesign -dv --verbose=4 /path/to/App.app
- Cảnh báo nếu:
  - Không có Developer ID
  - Developer ID lạ / mới tạo
  - Ứng dụng yêu cầu quyền không hợp lý
BẢO VỆ TÀI KHOẢN & DỮ LIỆU QUAN TRỌNG
- Bật MFA cho tất cả tài khoản:
  - Email
  - Apple ID
  - Ví crypto / sàn giao dịch
- Dùng password manager (1Password, Bitwarden…)
- Đối với trình duyệt
  - Xóa cookies định kỳ
  - Không cài extension không rõ nguồn
  - Kiểm tra extension có quyền đọc “all sites” → gỡ ngay nếu nghi ngờ
PHÒNG TRÁNH LÂY LAN QUA WHATSAPP
- Tắt auto-download file
- Xác minh lại qua kênh khác (gọi trực tiếp)

IOCs

Malicious Domain
- Negmari[.]com
- Ramiort[.]com
- Strongdwn[.]com
- bagumedios[.]cloud
- day.foqguzz[.]com
- ai[.]foqguzz[.]com
- alli-ai[.]pro
- barbermoo[.]coupons
- barbermoo[.]fun
- barbermoo[.]shop
- barbermoo[.]space
- barbermoo[.]today
- barbermoo[.]top
- barbermoo[.]world
- barbermoo[.]xyz
- 67e5143a9ca7d2240c137ef80f2641d6[.]pages[.]dev
- b93b559cf522386018e24069ff1a8b7a[.]pages[.]dev
- goldenticketsshop[.]com
- booksmagazinetx[.]com
- dynamiclake[.]org
C2
- 217.119.139[.]117
- 157[.]66[.]27[.]11
- 195.24.236[.]116
Hash
- 3e20ddb90291ac17cef9913edd5ba91cd95437da86e396757c9d871a82b1282a
- da99f7570b37ddb3d4ed650bc33fa9fbfb883753b2c212704c10f2df12c19f63
- 42d51feea16eac568989ab73906bbfdd41641ee3752596393a875f85ecf06417
- 2c885d1709e2ebfcaa81e998d199b29e982a7559b9d72e5db0e70bf31b183a5f
- 6168d63fad22a4e5e45547ca6116ef68bb5173e17e25fd1714f7cc1e4f7b41e1
- 3bd6a6b24b41ba7f58938e6eb48345119bbaf38cd89123906869fab179f27433
- 5d929876190a0bab69aea3f87988b9d73713960969b193386ff50c1b5ffeadd6
- bdd2b7236a110b04c288380ad56e8d7909411da93eed2921301206de0cb0dda1
- 495697717be4a80c9db9fe2dbb40c57d4811ffe5ebceb9375666066b3dda73c3
- de07516f39845fb91d9b4f78abeb32933f39282540f8920fe6508057eedcbbea
- 598da788600747cf3fa1f25cb4fa1e029eca1442316709c137690e645a0872bb
- c72f8207ce7aebf78c5b672b65aebc6e1b09d00a85100738aabb03d95d0e6a95
Url
- hxxps://erik22jomk77[.]card.co
- hxxps[:]//empautlipa[.]com/altor/installer[.]msi