AMOS: Khi quảng cáo Google trở thành "cửa ngõ" cho mã độc tấn công người dùng Mac
Chỉ cần một phút lơ là khi tìm cách xử lý các vấn đề kỹ thuật trên macOS Tahoe, người dùng có thể đang tự tay mở cửa cho mã độc AMOS (hay còn gọi là SOMA) quét sạch dữ liệu của mình. Chiến dịch tấn công này đang gióng lên hồi chuông cảnh báo về sự tinh vi của tội phạm mạng khi chúng lợi dụng chính sự tin tưởng của người dùng vào các công cụ tìm kiếm phổ biến.
docs.google.com hay business.google.com để làm vỏ bọc cho các trang hỗ trợ giả mạo. Việc Google – một gã khổng lồ công nghệ – liên tục để lọt các quảng cáo độc hại dẫn đến bài viết "độc" trên Medium cho thấy một lỗ hổng lớn trong trách nhiệm kiểm duyệt nội dung tài trợ. Khi người dùng tìm kiếm những từ khóa như "how to clear cache on macos tahoe", kết quả đầu tiên xuất hiện thường là một cái bẫy được gắn nhãn "Được tài trợ".Đòn tâm lý qua Terminal và lỗ hổng từ sự thiếu cảnh giác
Thủ đoạn của AMOS không nhắm vào lỗi phần mềm mà nhắm trực tiếp vào hành vi con người. Ngay khi truy cập các trang web giả mạo giao diện Apple, người dùng được dẫn dắt thực hiện các bước "bảo trì" bằng cách sao chép và dán một đoạn mã lệnh vào Terminal. Để che mắt những người có chút kiến thức kỹ thuật, đoạn mã này thường được mã hóa base-64, trông có vẻ giống một lệnh hệ thống vô hại.
curl xuất hiện trong đoạn mã đóng vai trò là "kẻ vận chuyển" âm thầm, tải xuống các tệp thực thi từ máy chủ của tin tặc. Nguy hiểm ở chỗ, phương thức này giúp mã độc bỏ qua thuộc tính "quarantine" – chốt chặn bảo mật tiêu chuẩn của macOS đối với các tệp tải về từ trình duyệt. Bằng cách lừa người dùng tự tay thực thi lệnh trong Terminal, kẻ tấn công đã vô tình có được "tấm thẻ bài" miễn tử, vượt qua Gatekeeper và các cơ chế xác thực chữ ký số khắt khe của Apple mà không hề gây ra cảnh báo đỏ nào từ hệ thống.AMOS và "cơn ác mộng" dữ liệu: Khi mọi bí mật đều bị phơi bày
Một khi đã "lọt cửa" thành công, AMOS bắt đầu một cuộc càn quét dữ liệu triệt để và tàn khốc. Không chỉ dừng lại ở việc theo dõi, mã độc này thực hiện một quy trình "vét sạch" máy tính của nạn nhân một cách có hệ thống.
.pass ngay trong thư mục Home để lưu trữ mật khẩu của người dùng dưới dạng văn bản thuần túy (plain text) – nghĩa là bất kỳ ai chiếm được tệp này đều có thể đọc toàn bộ mật khẩu mà không cần giải mã. Để duy trì sự hiện diện lâu dài và điều khiển quá trình đánh cắp, hai tệp thực thi ẩn là .agent (AppleScript) và .mainHelper (tệp nhị phân Mach-O) sẽ được cài đặt sâu vào hệ thống.Sự trơ trẽn của AMOS còn thể hiện ở việc nó gửi yêu cầu truy cập trực tiếp vào ứng dụng Notes (Ghi chú). Dù macOS có hiển thị cửa sổ xác nhận quyền truy cập, nhưng thực tế cay đắng là tại thời điểm thông báo đó hiện lên, một phần lớn dữ liệu nhạy cảm thường đã nằm trong tay kẻ xấu.
Đừng để nhãn "Được tài trợ" đánh lừa bản năng an toàn
Tâm lý chung của chúng ta thường là tin tưởng vào những kết quả xuất hiện ở vị trí đầu tiên trên Google, nhất là khi chúng được gắn mác "Được tài trợ". Kẻ tấn công hiểu rất rõ thói quen này và sẵn sàng chi tiền để mua vị trí tiếp cận nạn nhân nhanh nhất.
support.apple.com nên là lựa chọn duy nhất khi bạn cần xử lý sự cố.Một quy tắc vàng cần ghi nhớ: Nếu một trang web yêu cầu bạn can thiệp vào Terminal để thực hiện các tác vụ đơn giản như xóa cache, đó gần như chắc chắn là một cái bẫy. Việc sử dụng thêm các công cụ kiểm tra liên kết (Link Unshortener) cũng là một bước đệm cần thiết để nhận diện địa chỉ đích thực sự trước khi click vào bất kỳ đường dẫn nghi vấn nào.