Microsoft: Bài khắc phục sự cố macOS giả cài phần mềm đánh cắp ví crypto

Microsoft cho biết các hướng dẫn sửa lỗi macOS giả mạo đang bị dùng để lừa người dùng tự chạy lệnh độc hại, từ đó đánh cắp ví tiền mã hóa, dữ liệu iCloud và mật khẩu lưu trên trình duyệt.

Những hướng dẫn này được đăng trên các nền tảng như Medium, Craft và Squarespace, thường xoay quanh các vấn đề phổ biến như dọn dung lượng ổ đĩa hoặc sửa lỗi hệ thống. Người dùng bị dụ sao chép lệnh vào Terminal, khiến mã độc tự tải xuống và chạy.

Kỹ thuật này được gọi là ClickFix và có thể vượt qua cơ chế bảo vệ Gatekeeper của macOS vì nạn nhân chủ động thực thi lệnh. Các biến thể mã độc được nhắc tới gồm AMOS, Macsync và SHub Stealer.

Những mã độc này có thể lấy khóa ví đã mã hóa từ Exodus, Ledger và Trezor, đồng thời đánh cắp tên đăng nhập, mật khẩu lưu trong Chrome và Firefox. Trong một số trường hợp, kẻ tấn công còn xóa ứng dụng ví hợp lệ và thay bằng phiên bản trojan.

Apple đã bổ sung lớp bảo vệ mới trong macOS 26.4 để chặn việc dán các lệnh có khả năng gây hại. Hiện chưa rõ phạm vi tác động cụ thể của thay đổi này đối với các chiến dịch đang diễn ra.