-
09/04/2020
-
139
-
1.879 bài viết
Google Ads và Claude AI bị hacker lợi dụng phát tán mã độc nhắm vào người dùng macOS
Một chiến dịch tấn công mạng mới đang khiến giới an ninh mạng đặc biệt lo ngại khi tin tặc lợi dụng chính nền tảng AI Anthropic và công cụ tìm kiếm Google để phát tán mã độc tới người dùng macOS. Lần này hacker không sử dụng website giả mạo như các hình thức phishing truyền thống mà khai thác các đoạn hội thoại chia sẻ công khai trên Claude để dụ nạn nhân tự chạy lệnh độc hại trên máy tính.
Khi link thật lại trở thành cái bẫy nguy hiểm
Theo phân tích, người dùng khi tìm kiếm cụm từ như “Claude mac download” trên Google có thể nhìn thấy quảng cáo tài trợ hiển thị tên miền thật là claude.ai. Điều này khiến nạn nhân rất khó nghi ngờ vì địa chỉ truy cập hoàn toàn hợp lệ, không phải website giả mạo.
Tuy nhiên sau khi truy cập, người dùng được dẫn tới một đoạn chat công khai chứa hướng dẫn mở Terminal và dán một đoạn lệnh được mã hóa Base64. Bề ngoài, lệnh này trông giống thao tác kỹ thuật bình thường để cài đặt ứng dụng. Nhưng thực tế, nó âm thầm tải xuống và thực thi mã độc trên thiết bị macOS.
Các nhà nghiên cứu cho biết đây là xu hướng tấn công mới nguy hiểm hơn phishing truyền thống vì hacker đang “ẩn náu” ngay trong các nền tảng hợp pháp, khiến người dùng gần như mất khả năng phân biệt thật - giả chỉ bằng tên miền.
Tuy nhiên sau khi truy cập, người dùng được dẫn tới một đoạn chat công khai chứa hướng dẫn mở Terminal và dán một đoạn lệnh được mã hóa Base64. Bề ngoài, lệnh này trông giống thao tác kỹ thuật bình thường để cài đặt ứng dụng. Nhưng thực tế, nó âm thầm tải xuống và thực thi mã độc trên thiết bị macOS.
Các nhà nghiên cứu cho biết đây là xu hướng tấn công mới nguy hiểm hơn phishing truyền thống vì hacker đang “ẩn náu” ngay trong các nền tảng hợp pháp, khiến người dùng gần như mất khả năng phân biệt thật - giả chỉ bằng tên miền.
Mã độc hoạt động như thế nào?
Sau khi người dùng dán lệnh vào Terminal, hệ thống sẽ tải xuống một shell script nén và chạy trực tiếp trong bộ nhớ. Điều này giúp mã độc hạn chế để lại dấu vết trên ổ cứng, gây khó khăn cho phần mềm bảo mật trong việc phát hiện.
Đáng chú ý, mỗi lần tải xuống, máy chủ của hacker lại tạo ra một biến thể mã độc khác nhau bằng kỹ thuật polymorphic delivery. Nói đơn giản, mã độc liên tục thay đổi “ngoại hình” để tránh bị nhận diện bằng chữ ký bảo mật thông thường.
Một số biến thể còn kiểm tra xem máy tính có sử dụng bàn phím tiếng Nga hoặc khu vực CIS hay không. Nếu phát hiện đúng khu vực này, mã độc sẽ tự dừng hoạt động. Đây là hành vi thường thấy ở các nhóm tấn công mạng nhằm tránh nhắm vào quốc gia “nội bộ” của chúng.
Nếu vượt qua bước kiểm tra, mã độc sẽ thu thập hàng loạt thông tin hệ thống như:
Đáng chú ý, mỗi lần tải xuống, máy chủ của hacker lại tạo ra một biến thể mã độc khác nhau bằng kỹ thuật polymorphic delivery. Nói đơn giản, mã độc liên tục thay đổi “ngoại hình” để tránh bị nhận diện bằng chữ ký bảo mật thông thường.
Một số biến thể còn kiểm tra xem máy tính có sử dụng bàn phím tiếng Nga hoặc khu vực CIS hay không. Nếu phát hiện đúng khu vực này, mã độc sẽ tự dừng hoạt động. Đây là hành vi thường thấy ở các nhóm tấn công mạng nhằm tránh nhắm vào quốc gia “nội bộ” của chúng.
Nếu vượt qua bước kiểm tra, mã độc sẽ thu thập hàng loạt thông tin hệ thống như:
- Địa chỉ IP công khai
- Tên thiết bị
- Phiên bản macOS
- Ngôn ngữ và bố cục bàn phím
Toàn bộ dữ liệu này được gửi về máy chủ điều khiển của hacker trước khi tải xuống giai đoạn tấn công tiếp theo. Sau đó, mã độc sử dụng osascript để thực thi lệnh từ xa mà không cần cài thêm ứng dụng độc hại truyền thống.
Theo các chuyên gia, một biến thể được xác định là mã độc đánh cắp thông tin MacSync infostealer. Loại mã độc này có khả năng:
Theo các chuyên gia, một biến thể được xác định là mã độc đánh cắp thông tin MacSync infostealer. Loại mã độc này có khả năng:
- Đánh cắp tài khoản và mật khẩu trình duyệt
- Lấy cookie đăng nhập
- Truy cập dữ liệu trong macOS Keychain
- Chiếm phiên đăng nhập các dịch vụ trực tuyến
Điều này đồng nghĩa nạn nhân có thể bị chiếm email, tài khoản mạng xã hội, ví tiền số hoặc thậm chí tài khoản doanh nghiệp mà không hề hay biết.
Đây là “lỗ hổng niềm tin”
Khác với các vụ khai thác CVE hay lỗi kỹ thuật thông thường, chiến dịch lần này chủ yếu lợi dụng social engineering. Tin tặc hiểu rằng nhiều người hiện có xu hướng tin tưởng AI, chatbot và các nền tảng lớn. Khi thấy hướng dẫn xuất hiện trên Claude AI thật hoặc Google Ads hợp lệ, người dùng sẽ dễ dàng bỏ qua cảnh giác và làm theo.
Đây cũng không phải lần đầu hacker lợi dụng nền tảng AI để phát tán mã độc. Trước đó, các chiến dịch tương tự từng nhắm vào người dùng ChatGPT và Grok.
Các chuyên gia nhận định xu hướng này sẽ còn gia tăng mạnh trong thời gian tới khi AI ngày càng trở thành công cụ phổ biến trong công việc và học tập.
Đây cũng không phải lần đầu hacker lợi dụng nền tảng AI để phát tán mã độc. Trước đó, các chiến dịch tương tự từng nhắm vào người dùng ChatGPT và Grok.
Các chuyên gia nhận định xu hướng này sẽ còn gia tăng mạnh trong thời gian tới khi AI ngày càng trở thành công cụ phổ biến trong công việc và học tập.
Người dùng cần làm gì để phòng tránh?
Hiện chưa có CVE cụ thể vì đây không phải lỗ hổng phần mềm truyền thống, mà là chiến dịch phát tán mã độc thông qua quảng cáo độc hại và kỹ thuật lừa đảo.
Các chuyên gia khuyến cáo người dùng macOS cần đặc biệt lưu ý:
Các chuyên gia khuyến cáo người dùng macOS cần đặc biệt lưu ý:
- Không chạy lệnh Terminal được chia sẻ từ chat AI, diễn đàn hoặc bài đăng lạ
- Không tải ứng dụng thông qua quảng cáo tìm kiếm tài trợ
- Truy cập trực tiếp website chính thức của nhà phát triển
- Kiểm tra kỹ các quyền truy cập mà ứng dụng yêu cầu
- Sử dụng phần mềm bảo mật có khả năng phát hiện hành vi bất thường
- Bật xác thực đa yếu tố cho các tài khoản quan trọng
Đối với doanh nghiệp, cần tăng cường giám sát endpoint, kiểm tra lưu lượng bất thường từ máy macOS và đào tạo nhân viên về các hình thức social engineering mới liên quan đến AI.
Chỉnh sửa lần cuối: