Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Mac MacOS Python Infostealers

MacOS Python Infostealers

Đến năm Mezo năm Phần mềm độc hại Mac, Kẻ trộm
Dịch sang:

Các chuyên gia an ninh mạng đang gióng lên hồi chuông cảnh báo về sự mở rộng nhanh chóng của các cuộc tấn công đánh cắp thông tin từ hệ điều hành Microsoft Windows sang hệ sinh thái Apple macOS. Các tác nhân đe dọa ngày càng dựa vào các ngôn ngữ lập trình đa nền tảng như Python và lợi dụng các dịch vụ đáng tin cậy cũng như các nền tảng quảng cáo để phát tán phần mềm độc hại trên quy mô lớn, làm mở rộng đáng kể bề mặt tấn công.

Kỹ thuật tấn công phi kỹ thuật (Social Engineering) thúc đẩy các chiến dịch đánh cắp thông tin trên macOS.

Từ cuối năm 2025, nhiều chiến dịch đã nhắm mục tiêu vào người dùng macOS thông qua các kỹ thuật lừa đảo xã hội, đáng chú ý nhất là ClickFix. Các hoạt động này phát tán các trình cài đặt ảnh đĩa độc hại (DMG) triển khai các phần mềm đánh cắp thông tin macOS nổi tiếng, bao gồm Atomic macOS Stealer (AMOS), MacSync và DigitStealer. Việc phát tán thường dựa trên việc thuyết phục người dùng tự khởi động quá trình lây nhiễm.

Lạm dụng hệ điều hành macOS gốc và hành vi đánh cắp dữ liệu lén lút

Sau khi được thực thi, các mối đe dọa này thường dựa vào các kỹ thuật không cần tệp, các tiện ích gốc của macOS và tự động hóa AppleScript để tránh bị phát hiện và đơn giản hóa việc thu thập dữ liệu. Thông tin bị đánh cắp thường bao gồm thông tin đăng nhập và dữ liệu phiên được lưu trữ trên trình duyệt, các mục nhạy cảm từ iCloud Keychain và các bí mật liên quan đến nhà phát triển có thể cho phép xâm nhập sâu hơn.

Quảng cáo độc hại như một phương thức truy cập ban đầu

Nhiều chuỗi tấn công này bắt đầu bằng các quảng cáo độc hại, thường được phân phối thông qua Google Ads. Người dùng tìm kiếm phần mềm hợp pháp, chẳng hạn như các tiện ích DynamicLake hoặc công cụ trí tuệ nhân tạo, bị chuyển hướng đến các trang web giả mạo. Các trang web này sử dụng các chiêu trò ClickFix hướng dẫn nạn nhân làm theo các lệnh sao chép-dán hoặc lời nhắc cài đặt, dẫn đến việc tự cài đặt phần mềm độc hại.

Những kẻ trộm Python cho phép thích nghi nhanh chóng

Các phần mềm đánh cắp thông tin dựa trên Python đặc biệt hấp dẫn đối với tin tặc do tính linh hoạt và dễ dàng tái sử dụng trên các hệ điều hành khác nhau. Những mối đe dọa này thường được phát tán qua email lừa đảo và được thiết kế để thu thập nhiều loại tài sản nhạy cảm, bao gồm:

Thông tin đăng nhập, cookie phiên, mã xác thực, chi tiết thẻ tín dụng và dữ liệu ví tiền điện tử.

Lạm dụng ứng dụng nhắn tin và đánh cắp thông tin PXA

Một ví dụ đáng chú ý là PXA Stealer, được cho là do các nhóm tin tặc nói tiếng Việt thực hiện. Các chiến dịch được ghi nhận từ tháng 10 và tháng 12 năm 2025 dựa vào email lừa đảo để truy cập ban đầu và tận dụng các khóa Run trong registry hoặc các tác vụ theo lịch trình để duy trì sự hiện diện. Telegram được sử dụng cho việc liên lạc điều khiển và đánh cắp dữ liệu. Ngoài ra, các nhóm tin tặc cũng đã sử dụng các nền tảng nhắn tin phổ biến như WhatsApp để phát tán phần mềm độc hại như Eternidade Stealer, nhắm mục tiêu vào các tài khoản tài chính và tiền điện tử, một chiến dịch đã được công khai vào tháng 11 năm 2025.

Tấn công SEO và phần mềm giả mạo trên Windows

Hoạt động đánh cắp thông tin không chỉ giới hạn ở macOS. Các chiến dịch tương tự đã sử dụng các trình chỉnh sửa PDF giả mạo, chẳng hạn như Crystal PDF, được quảng bá thông qua quảng cáo độc hại và làm suy yếu tối ưu hóa công cụ tìm kiếm. Các cuộc tấn công nhắm vào Windows này triển khai các phần mềm đánh cắp thông tin đăng nhập có khả năng âm thầm trích xuất cookie, thông tin phiên và thông tin đăng nhập được lưu trong bộ nhớ cache từ Mozilla Firefox và Google Chrome.

Các biện pháp phòng vệ chống lại hoạt động đánh cắp thông tin

Để giảm thiểu nguy cơ bị tấn công đánh cắp thông tin, các tổ chức được khuyến khích triển khai các biện pháp phòng vệ nhiều lớp và các sáng kiến nâng cao nhận thức người dùng, bao gồm:

  • Hướng dẫn người dùng nhận biết các chuỗi chuyển hướng quảng cáo độc hại, trình cài đặt gian lận và các thông báo kiểu ClickFix.
  • Giám sát các hoạt động bất thường trên thiết bị đầu cuối, truy cập trái phép vào iCloud Keychain và các yêu cầu POST gửi đi đáng ngờ đến các tên miền mới đăng ký hoặc bất thường.

Tác động kinh doanh của việc bị xâm nhập bởi Infostealer

Các vụ tấn công đánh cắp thông tin thành công có thể gây ra hậu quả nghiêm trọng. Thông tin đăng nhập và dữ liệu phiên bị đánh cắp có thể dẫn đến rò rỉ dữ liệu, truy cập trái phép vào hệ thống nội bộ, xâm phạm email doanh nghiệp, xâm nhập chuỗi cung ứng và các cuộc tấn công tiếp theo như triển khai mã độc tống tiền. Phát hiện chủ động và giáo dục vẫn rất quan trọng để hạn chế những rủi ro này.

xu hướng

Lừa đảo cập nhật hệ thống Webmail

Lừa đảo, Thư rác
Việc luôn cảnh giác là điều cần thiết khi nhận được những email bất ngờ yêu cầu hành động ngay lập tức. Tội phạm mạng thường dựa vào sự khẩn cấp và nỗi sợ hãi để thúc đẩy người nhận đưa ra những quyết định vội vàng. Các email có nội dung "Cập nhật hệ thống Webmail" là một ví dụ điển hình cho chiến thuật này. Những tin nhắn này không liên quan đến bất kỳ công ty, tổ chức hoặc thực thể hợp pháp...

Thông báo lỗi tên miền (Email lừa đảo)

Lừa đảo, Thư rác
Luôn cảnh giác khi nhận được email bất ngờ là điều vô cùng cần thiết. Tội phạm mạng thường lợi dụng lòng tin và sự khẩn cấp để lừa người nhận đưa ra những quyết định nguy hiểm. Các tin nhắn lừa đảo thường được soạn thảo cẩn thận để trông có vẻ hợp pháp, mặc dù chúng không liên quan đến bất kỳ công ty, tổ chức hoặc nhà cung cấp dịch vụ thực sự nào. Một mối đe dọa như vậy đang lan truyền trên...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
27,304
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...