Quảng Cáo Được Tài Trợ Trên X Phát Tán Mã Độc Tấn Công Người Dùng Mac

Quảng Cáo Được Tài Trợ Trên X Phát Tán Mã Độc Tấn Công Người Dùng Mac

    Mạng xã hội X (Twitter cũ) đang trở thành mặt trận mới cho các chiến dịch lừa đảo thao túng tâm lý (social engineering) quy mô lớn. Các chuyên gia bảo mật tại Jamf Threat Labs vừa phát hiện một chiến dịch phát tán mã độc vô cùng tinh vi, núp bóng dưới dạng một bài đăng được tài trợ (sponsored ad) từ một tài khoản có tick xanh uy tín nhằm đánh lừa người dùng máy tính Mac.


    Chiêu trò lừa đảo "ClickFix" mượn danh tiện ích DynamicLake

     

     

    Quảng cáo độc hại này mạo danh DynamicLake – một công cụ tùy biến hợp pháp dành cho macOS giúp biến phần rãnh "tai thỏ" trên MacBook thành hòn đảo thông minh Dynamic Island.

    Tuy nhiên, cuộc điều tra của Jamf cho thấy đường link đính kèm trong quảng cáo thực chất dẫn người dùng đến một tên miền giả mạo có địa chỉ dynamicmacisland[.]com. Giao diện trang web này được thiết kế giống hệt trang gốc nhằm tạo lòng tin tuyệt đối. Tại đây, kẻ gian áp dụng kỹ thuật tấn công kiểu "ClickFix":

    • +   Thao túng người dùng: Trang web hiển thị hướng dẫn yêu cầu nạn nhân mở ứng dụng Terminal trên Mac và dán vào đó một đoạn mã cài đặt được cung cấp sẵn.

    • +   Cài cắm mã độc chạy ngầm: Ngay khi người dùng thực hiện theo, đoạn mã sẽ âm thầm tải và cài đặt một biến thể mới của dòng mã độc đánh cắp dữ liệu khét tiếng Atomic Stealer (được Jamf theo dõi dưới tên MacSync) hoặc dòng mã độc DigitStealer.

    Các chuyên gia bảo mật nhấn mạnh rằng các phần mềm chính thống được Apple cấp chứng nhận định danh (signed and notarized) sẽ không bao giờ yêu cầu người dùng phải tự chạy các đoạn mã phức tạp qua Terminal để cài đặt.


    Sự lỏng lẻo trong hệ thống duyệt quảng cáo của X và phản hồi từ nhà phát triển

     

     

    Điều đáng lo ngại là chiến dịch lừa đảo này xuất phát từ một tài khoản được xác minh (tích xanh) có lượng người theo dõi khá lớn. Chủ tài khoản này hoàn toàn không có ý định xấu mà chỉ đơn thuần bị đánh lừa bởi bên mua quảng cáo, tin rằng ứng dụng này an toàn và phê duyệt cho nó chạy trên trang của mình. Sự xuất hiện của huy hiệu tích xanh đã vô tình tạo ra một "vỏ bọc uy tín" hoàn hảo để bẫy người dùng.

    Nghiêm trọng hơn, bài đăng này đã lọt qua toàn bộ hệ thống kiểm duyệt tự động của X để tiếp cận trực tiếp đến bảng tin của các nạn nhân. Thủ đoạn sử dụng một tên miền gần giống kết hợp với cơ chế chuyển hướng đơn (single redirect) đã giúp kẻ gian dễ dàng qua mặt các bộ quét an ninh của X. Thực trạng này gợi nhớ đến việc hệ thống Google Ads từng phê duyệt hàng loạt quảng cáo giả mạo công cụ Homebrew để phát tán mã độc lên top đầu kết quả tìm kiếm vào năm ngoái.

    Ngay sau khi nhận được báo cáo từ Jamf Threat Labs, X đã nhanh chóng gỡ bỏ đoạn quảng cáo độc hại kể trên. Nhà phát triển chính thức của ứng dụng DynamicLake cũng đã lên tiếng xin lỗi người dùng vì sự cố mạo danh đáng tiếc này, đồng thời khuyến cáo khách hàng chỉ nên tải ứng dụng tại địa chỉ duy nhất là DynamicLake.com thông qua cổng thanh toán bảo mật Gumroad.


    Kết luận

     

    Tóm lại, việc mã độc Atomic Stealer phát tán thành công qua hệ thống quảng cáo trả phí của X là một hồi chuông cảnh báo về lỗ hổng kiểm duyệt nghiêm trọng của các nền tảng mạng xã hội lớn. Bằng cách lợi dụng lòng tin từ các tài khoản tích xanh và áp dụng kỹ thuật ClickFix qua Terminal, tin tặc đang biến những người dùng Mac chủ quan thành mục tiêu béo bở. Đối với cộng đồng công nghệ, đây là bài học xương máu: tuyệt đối không cài đặt phần mềm bằng cách dán các đoạn mã lạ vào Terminal và chỉ tin dùng các nguồn tải ứng dụng chính thống từ nhà phát triển hoặc Mac App Store để bảo vệ an toàn cho dữ liệu hệ thống.

     

    #TraiDepBanIphone #iPhoneChinhHang #TraiDepTech

    Cộng đồng Trai Đẹp Bán Iphone

    Xem nhiều nhất

    GIAO HÀNG TẬN NƠI MIỄN PHÍ
    BẢO HÀNH 1 ĐỔI 1 MIỄN PHÍ
    HỖ TRỢ KỸ THUẬT TRỌN ĐỜI
    THANH TOÁN LINH HOẠT