Ngay sau khi Apple triển khai tính năng ngăn chặn lệnh độc hại trên Terminal, các chiến dịch ClickFix đã nhanh chóng thay đổi phương thức thực thi sang Script Editor nhằm tiếp tục phát tán mã độc Atomic Stealer trên hệ sinh thái Mac.
Cơ chế bảo vệ mới trên Terminal của macOS 26.4
Trong bản cập nhật macOS Tahoe 26.4 phát hành cuối tháng 3/2026, Apple đã bổ sung một lớp bảo vệ quan trọng cho ứng dụng Terminal. Hệ thống hiện có khả năng phân tích các nội dung được sao chép và dán vào dòng lệnh từ trình duyệt Safari hoặc các ứng dụng bên thứ ba. Nếu phát hiện các chuỗi lệnh có dấu hiệu nguy hiểm, macOS sẽ ngăn chặn thực thi và hiển thị thông báo: “Phần mềm độc hại tiềm ẩn, Đã chặn dán” (Possible malware, Paste blocked) .
Mục tiêu của tính năng này là đối phó với ClickFix – một phương thức tấn công kỹ nghệ xã hội (social engineering) đang phổ biến. Kỹ thuật này đánh lừa người dùng thực hiện các thao tác như sao chép và dán lệnh độc hại vào Terminal dưới danh nghĩa sửa lỗi hệ thống, xác minh tài khoản hoặc tối ưu hóa dung lượng ổ đĩa .
Kỹ thuật né tránh thông qua Script Editor
Dù lớp bảo vệ Terminal mang lại hiệu quả nhất định, các nhà nghiên cứu từ Jamf Threat Labs đã ghi nhận các tác nhân đe dọa bắt đầu triển khai phương thức vượt qua cơ chế này . Thay vì yêu cầu người dùng tương tác trực tiếp với Terminal, các chiến dịch này chuyển hướng sang khai thác Script Editor – một công cụ mặc định của hệ thống hỗ trợ AppleScript và tự động hóa kịch bản .
Quy trình tấn công được thay đổi bằng cách sử dụng lược đồ URL applescript:// . Khi người dùng truy cập các trang web giả mạo (thường mạo danh giao diện hỗ trợ của Apple) và nhấn nút “Execute”, trình duyệt sẽ kích hoạt Script Editor mở ra với một đoạn kịch bản độc hại đã được điền sẵn . Do mã lệnh được thực thi thông qua Script Editor thay vì Terminal, cơ chế quét bảo mật mới của macOS 26.4 hoàn toàn bị bỏ qua .
Đặc điểm của mã độc Atomic Stealer (AMOS)
Mục tiêu cuối cùng của phương thức tấn công này là cài đặt Atomic Stealer (AMOS) . Đoạn kịch bản trong Script Editor sẽ thực hiện lệnh shell để tải tệp thực thi về thư mục tạm thời /tmp/helper . Sau khi được kích hoạt, AMOS có khả năng trích xuất các dữ liệu nhạy cảm bao gồm:
- Thông tin đăng nhập và dữ liệu bảo mật từ Keychain .
- Cookie, thông tin thẻ tín dụng từ các trình duyệt phổ biến như Safari, Chrome và Firefox .
- Dữ liệu từ các ví tiền điện tử cá nhân và các tệp tin nhạy cảm trong hệ thống .
Khuyến nghị phòng ngừa từ chuyên gia
Dữ liệu phân tích cho thấy bản cập nhật macOS 26.4.1 phát hành đầu tháng 4/2026 hiện tập trung xử lý các lỗi kết nối mạng 802.1X trên dòng chip M5 và chưa bổ sung giải pháp kỹ thuật cụ thể cho phương thức né tránh qua Script Editor .
Để đảm bảo an toàn thông tin, người dùng và quản trị viên hệ thống cần lưu ý các nguyên tắc sau:
- Kiểm chứng nguồn tin kỹ thuật: Các dịch vụ chính thức của Apple không yêu cầu người dùng thực thi kịch bản AppleScript thủ công từ trình duyệt để bảo trì hệ thống .
- Cảnh giác với quy trình tự động: Tuyệt đối không chấp thuận yêu cầu mở Script Editor hoặc lưu và thực thi các kịch bản không rõ nguồn gốc phát sinh từ các trang web lạ .
- Triển khai giải pháp giám sát: Sử dụng các công cụ bảo mật có khả năng nhận diện hành vi (behavioral detection) để phát hiện các chuỗi thực thi bất thường, thay vì chỉ dựa vào các dấu hiệu nhận dạng tĩnh .
Tại Việt Nam, các cơ quan chuyên trách về an toàn thông tin đánh giá ClickFix là phương thức tiếp cận ban đầu nguy hiểm do khả năng lợi dụng trực tiếp sự tin tưởng của người dùng đối với các ứng dụng hệ thống sẵn có.
