Một chiến dịch phần mềm độc hại từng lẻn vào máy tính Mac để lấy trộm ví tiền điện tử giờ đây đang phát triển thành thứ gì đó nguy hiểm hơn nhiều. Atomic macOS Stealer, còn được gọi là AMOS, là một phần mềm đánh cắp thông tin phổ biến nhắm vào các thiết bị chạy hệ điều hành macOS. Và phần mềm này vừa nhận được một bản cập nhật lớn.

Phần mềm độc hại được cập nhật đi kèm với một cửa hậu nhúng cho phép kẻ tấn công truy cập từ xa vào thiết bị của bạn từ rất lâu sau khi vi phạm ban đầu, đồng thời “bật đèn xanh” cho việc xâm phạm toàn bộ hệ thống.

Các tính năng mới của phần mềm độc hại cho phép kẻ tấn công chạy các lệnh tùy ý, liên tục theo dõi nạn nhân, đánh cắp dữ liệu và tự động cài đặt lại sau khi khởi động lại. Moonlock Lab, bộ phận bảo mật macOS của MacPaw, đơn vị đầu tiên xác định bản nâng cấp cho biết, điều này gây ra rủi ro rất lớn.

AMOS là một hoạt động mã độc dạng dịch vụ (MaaS) có liên hệ với Nga, đã lây nhiễm hàng nghìn máy tính trên hơn 120 quốc gia, trong đó Hoa Kỳ, Pháp, Ý, Vương quốc Anh và Canada là những quốc gia bị ảnh hưởng nặng nề nhất.

Những kẻ tấn công đang nhắm mục tiêu vào các nghệ sĩ và các cá nhân làm việc tự do nhưng giầu có  (freelancer) nhờ tiền điện tử. Nạn nhân bị dụ dỗ bằng những lời mời làm việc giả mạo thông qua LinkedIn, rồi bị yêu cầu cung cấp mật khẩu hệ thống trong một "cuộc phỏng vấn" được dàn dựng dưới chiêu bài cho phép chia sẻ màn hình.

Theo các nhà nghiên cứu, đây chỉ là trường hợp thứ hai được biết đến sau các tác nhân đến từ Triều Tiên sử dụng phần mềm độc hại được trang bị cửa hậu nhắm mục tiêu vào máy Mac trên phạm vi toàn cầu. Cũng giống như các tin tặc đến từ Triều Tiên, các nhà phát triển AMOS đến từ Nga đang sử dụng cùng một chiến thuật tấn công nhắm vào nạn nhân.

Các nhà nghiên cứu cho biết: "Sự kết hợp giữa phần mềm đánh cắp dữ liệu dạng cắm và chạy với chức năng cửa hậu không chỉ làm tăng mức độ tinh vi về mặt kỹ thuật mà nhóm tin tặc triển khai mà còn làm tăng đáng kể rủi ro cho nạn nhân. Nó biến một vụ xâm nhập một lần thành một sự xâm phạm lâu dài".

Phần mềm độc hại có cửa hậu đang trở thành hiện thực hàng ngày

Kể từ đầu năm 2024, đã có sự gia tăng đáng kể về số lượng mẫu phần mềm độc hại AMOS riêng biệt đang lưu hành ngoài thực tế.

Trong khi khối lượng nhị phân cửa hậu của Triều Tiên vẫn tương đối ổn định, các biến thể AMOS đã bùng nổ. Điều này cho thấy thị trường dịch vụ đánh cắp và hệ sinh thái phần mềm độc hại dưới dạng dịch vụ (MaaS) rộng lớn hơn đã thống trị phần lớn năm 2024 và không có dấu hiệu chậm lại vào năm 2025.

Xem xét xu hướng dữ liệu từ năm 2024 trở đi, các nhà phân tích dự đoán sẽ có sự gia tăng đáng kể phần mềm độc hại kết hợp đánh cắp và cửa hậu trong nửa cuối năm 2025.

Làm thế nào để giữ an toàn?

Bất chấp lời đồn đại rằng "Máy Mac không bị nhiễm vi-rút", macOS đã trở thành mục tiêu có giá trị cao đối với tội phạm mạng và AMOS là bằng chứng cho thấy các tác nhân đe dọa không còn phớt lờ các thiết bị của Apple nữa. Dưới đây là một số cách để đối phó với phần mềm độc hại như AMOS:

Luôn cảnh giác: Kiến thức là tuyến phòng thủ đầu tiên của bạn. Các chiến dịch AMOS thường dựa vào kỹ thuật xã hội. Nó có thể bắt đầu bằng các tin nhắn được thiết kế riêng, lời mời làm việc giả mạo hoặc bẫy phần mềm bị bẻ khóa. Hiểu cách thức hoạt động của các phần mềm độc hại giúp bạn phát hiện ra các dấu hiệu cảnh báo.

Giảm dấu vết kỹ thuật số của bạn: Bạn càng đăng công khai nhiều, kẻ tấn công càng dễ tạo ra các tin nhắn lừa đảo thuyết phục. Dọn dẹp các tài khoản chưa sử dụng, hạn chế thông tin cá nhân công khai và suy nghĩ kỹ trước khi chia sẻ thông tin chi tiết nhạy cảm trực tuyến.

Sử dụng phần mềm bảo mật: Các công cụ chống phần mềm độc hại có thể giúp theo dõi thiết bị Apple của bạn để phát hiện hành vi đáng ngờ và cảnh báo bạn về các mối đe dọa, cũng như ngăn chặn các cuộc tấn công cửa sau, bao gồm cả AMOS.

Luôn cập nhật: Cập nhật và vá lỗi cho macOS và tất cả các ứng dụng của bạn. AMOS thường khai thác các hệ thống lỗi thời hoặc lỗ hổng phần mềm.

Luôn kiểm tra kỹ mọi thứ và xác minh: Nếu ai đó cung cấp cho bạn một công việc, một tệp dữ liệu hoặc một công cụ có vẻ quá tốt…, thì bạn cũng dành một chút thời gian để đặt cau hỏi, liệu chúng có phải là sự thật hay không? Hãy luôn xác minh các liên kết và không bao giờ tiết lộ mật khẩu hệ thống của mình trừ khi bạn chắc chắn 100% lý do tại sao bạn làm như vậy