Các nhà nghiên cứu bảo mật và 'Bleeping Computer' gần đây đã phát hiện một phương thức tấn công mới nhắm vào người dùng Mac. Kẻ tấn công giả mạo đội ngũ hỗ trợ Apple trong cửa sổ trò chuyện Claude được chia sẻ, tiếp cận người dùng bằng cách hướng dẫn cài đặt phần mềm 'Claude Code' trên máy Mac.
Cách thức tấn công và đặc điểm
- Dụ chạy lệnh Terminal: Thông qua cuộc trò chuyện giả mạo, chúng dụ người dùng sao chép và chạy lệnh Terminal. Khi chạy lệnh này, có vẻ như môi trường 'Claude Code' đang được thiết lập, nhưng thực tế là nó tải mã độc trong nền và ghi vào một shell script.
- Chọn lọc theo khu vực: Một số biến thể kiểm tra xem máy tính bị nhiễm có được thiết lập bàn phím tiếng Nga hoặc khu vực Cộng đồng các Quốc gia Độc lập (CIS) thuộc Liên Xô cũ hay không. Nếu thuộc khu vực này, mã độc sẽ tự kết thúc.
- Cài đặt dạng bay hơi: Mã độc này chủ yếu chạy trong bộ nhớ (RAM), vì vậy gần như không để lại dấu vết rõ ràng trên thiết bị lưu trữ lâu dài.
- Đánh cắp dữ liệu: Phần mềm đã cài đặt thu thập thông tin đăng nhập, cookie, nội dung Keychain của macOS và gửi về máy chủ của kẻ tấn công. Chuyên gia bảo mật Berk Albayrak đã xác định đây là một biến thể của 'MacSync'.
Ứng phó và phòng ngừa
Các cuộc tấn công tương tự trước đây cũng đã xảy ra thông qua ChatGPT và Grok vào tháng 12 năm 2025. Apple đang tiếp tục tăng cường các biện pháp bảo mật mới nhất.
- Cảnh báo hệ thống: Từ phiên bản macOS 26.4, khi dán lệnh được sao chép từ bên ngoài vào Terminal, một thông báo cảnh báo ở cấp hệ thống sẽ được hiển thị.
- Luôn cập nhật mới nhất: Người dùng được khuyến nghị luôn cập nhật macOS lên phiên bản mới nhất và giữ phần mềm antivirus của bên thứ ba ở trạng thái mới nhất.
Chưa có bình luận nào.