Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công tinh vi nhắm vào người dùng macOS. Kẻ xấu đang lợi dụng sự tin tưởng vào các nền tảng AI như ChatGPT và Grok để lừa nạn nhân chạy các dòng lệnh Terminal độc hại, qua đó chiếm đoạt dữ liệu nhạy cảm.
Bẫy giăng khắp trên Google
Theo báo cáo từ công ty an ninh mạng Huntress, thủ đoạn này đánh vào tâm lý của những người dùng máy tính Mac đang tìm cách giải phóng dung lượng ổ đĩa. Sam Chapman từ Engadget nhận định đây là một xu hướng đáng lo ngại khi AI hiện đại được sử dụng để “bình mới rượu cũ” cho các chiêu thức lừa đảo cổ điển.
Cụ thể, hacker tạo ra các cuộc hội thoại với chatbot AI (như ChatGPT hoặc Grok của X/Twitter). Trong các cuộc hội thoại này, chúng yêu cầu AI đưa ra hướng dẫn “dọn dẹp hệ thống” nhưng lồng ghép khéo léo các dòng lệnh Terminalđộc hại. Sau đó, kẻ tấn công sử dụng tính năng “Chia sẻ cuộc trò chuyện” (Share link) để tạo ra một đường dẫn công khai trên tên miền chính chủ của OpenAI hoặc X.com.
Bước cuối cùng, chúng chi tiền chạy quảng cáo Google (Google Ads) để đẩy các liên kết này lên đầu trang kết quả tìm kiếm với các từ khóa phổ biến như:
- Free up storage on Mac (Giải phóng dung lượng trên Mac)
- Clear disk space on macOS (Dọn dẹp ổ đĩa trên macOS)
- How to clear data on iMac (Cách xóa dữ liệu trên iMac)
Lợi dụng lòng tin vào thương hiệu lớn
Khi người dùng tìm kiếm các từ khóa trên, Google sẽ hiển thị hai kết quả được quảng cáo ở vị trí cao nhất: một dẫn đến ChatGPT và một dẫn đến Grok.
Do cả hai liên kết đều được lưu trữ trên các nền tảng hợp pháp và nổi tiếng, người dùng thường mất cảnh giác. Các đoạn chat này cung cấp hướng dẫn khắc phục sự cố từng bước rất lịch sự, đi kèm với một câu lệnh Terminal được ngụy trang dưới mác “lệnh dọn dẹp hệ thống an toàn”.
Nạn nhân tin rằng họ đang làm theo lời khuyên từ một trợ lý AI thông minh trên một nền tảng uy tín. Tuy nhiên, ngay khi họ sao chép và dán lệnh đó vào Terminal và nhấn Enter, thảm họa sẽ xảy ra.
Hậu quả: Mất sạch dữ liệu trong chớp mắt
Thay vì dọn rác hệ thống, dòng lệnh này sẽ bí mật tải xuống một biến thể của mã độc MacStealer (hoặc AMOS – Atomic macOS Stealer).
Ngay lập tức, mã độc này sẽ:
- Leo thang đặc quyền lên mức cao nhất (root).
- Thu thập toàn bộ mật khẩu lưu trên iCloud (Keychain).
- Đánh cắp các tệp tin quan trọng và thông tin thẻ tín dụng.
- Cài đặt malware dai dẳng (persistent) để tiếp tục theo dõi máy tính.
Sự nguy hiểm của phương thức này nằm ở chỗ nó vượt qua mọi lớp bảo mật tích hợp của Apple. macOS không đưa ra cảnh báo vì chính người dùng là người chủ động cấp quyền và thực thi lệnh.
Lời khuyên
Theo nhận định từ 9to5Mac, việc dán các dòng lệnh vào Terminal khi chưa hiểu rõ chúng làm gì là một hành động cực kỳ rủi ro, ngay cả trong điều kiện bình thường.
Để bảo vệ bản thân và dữ liệu, người dùng cần lưu ý:
- Cảnh giác với kết quả tìm kiếm được quảng cáo: Hacker thường mua quảng cáo để lừa đảo. Hãy ưu tiên các kết quả tìm kiếm từ các trang web công nghệ uy tín.
- Không chạy lệnh lạ: Tuyệt đối không sao chép và dán lệnh vào Terminal (Command Line) nếu bạn không có kiến thức kỹ thuật để hiểu dòng lệnh đó thực thi điều gì.
- Kiểm chứng nguồn tin: AI có thể đánh lừa bạn. Đừng tin tưởng tuyệt đối vào các đoạn chat AI được chia sẻ công khai bởi người lạ.
Hãy chia sẻ thông tin này đến bạn bè và người thân đang sử dụng máy Mac, vì những người dùng không rành về công nghệ rất dễ trở thành nạn nhân của chiêu trò tinh vi này.
Theo Engadget, 9to5Mac & Huntress Labs
