Nhóm hacker Lazarus tung chiến dịch Mach-O Man tấn công macOS, đe dọa các công ty tiền mã hóa và fintech

Theo CoinDesk đưa tin ngày 23 (giờ địa phương), nhóm tin tặc Triều Tiên **“Lazarus”** đang triển khai chiến dịch mã độc macOS mới mang tên **“Mach-O Man”**, nhắm thẳng vào các công ty **tiền mã hóa** và **fintech**. Chỉ từ một lời mời họp trực tuyến tưởng như bình thường, quyền truy cập hệ thống doanh nghiệp, nền tảng SaaS và cả tài khoản vốn có thể bị chiếm đoạt trong vài phút, khiến toàn ngành **tiền mã hóa** rơi vào trạng thái cảnh giác cao độ.

Theo CoinDesk, chiến dịch **Mach-O Man** tập trung tấn công các lãnh đạo doanh nghiệp và nhân sự cấp cao trong ngành **tiền mã hóa** và **fintech**. Natalie Newson, chuyên gia nghiên cứu bảo mật blockchain tại CertiK, nhận định các cuộc tấn công này “giả dạng giao tiếp kinh doanh thông thường, nhưng dẫn thẳng đến đánh cắp thông tin đăng nhập và rò rỉ dữ liệu nhạy cảm”.

Nhóm Lazarus được cho là đã đánh cắp tổng cộng khoảng 6,7 tỷ USD (khoảng 9.910 tỷ won) kể từ năm 2017. Chỉ riêng trong hai tuần gần đây, chúng bị nghi đứng sau các vụ tấn công vào dự án DeFi Drift và giao thức KelpDAO, chiếm đoạt hơn 500 triệu USD (khoảng 739,6 tỷ won).

bình luận: Những con số này củng cố nhận định rằng các vụ hack **tiền mã hóa** của Lazarus không còn là hoạt động rời rạc, mà mang tính chiến lược, có tổ chức và dài hạn.

Theo mô tả từ giới bảo mật, “trò đánh lừa” trung tâm của chiến dịch **Mach-O Man** là kỹ thuật xã hội gọi là ClickFix. Tin tặc liên hệ nạn nhân qua Telegram hoặc các kênh nhắn tin khác, gửi lời mời tham gia “cuộc họp khẩn” trên Zoom hoặc Google Meet, kèm theo đường link tới trang họp được ngụy trang tinh vi.

Sau khi nạn nhân truy cập, trang giả mạo hiển thị thông báo lỗi kết nối và hướng dẫn người dùng “sửa lỗi” bằng cách sao chép – dán một đoạn lệnh vào Terminal của macOS. Một khi đoạn lệnh này được chạy, quyền truy cập vào hệ thống nội bộ doanh nghiệp, các dịch vụ SaaS phục vụ vận hành **tiền mã hóa**, cũng như những tài khoản quản lý vốn sẽ lập tức rơi vào tay tin tặc.

Chuyên gia bảo mật Mauro Eldritch cảnh báo: “Bề ngoài, toàn bộ quy trình trông giống như một bước xử lý kỹ thuật bình thường. Chính nạn nhân là người tự tay kích hoạt cuộc tấn công mà không hay biết”.

bình luận: Đây là kiểu tấn công đặc biệt nguy hiểm vì bỏ qua bước “click file lạ”, thay vào đó lợi dụng niềm tin vào quy trình IT nội bộ và các công cụ họp trực tuyến vốn được dùng hàng ngày.

Chiến dịch **Mach-O Man** được thiết kế chuyên biệt cho môi trường macOS của Apple, với kiến trúc mã độc dạng mô-đun do tiểu nhóm “Chollima” thuộc Lazarus phát triển. Mục tiêu ưu tiên là các công ty **tiền mã hóa**, sàn giao dịch, giao thức DeFi và doanh nghiệp **fintech** sử dụng hệ sinh thái Mac trong vận hành.

Trong một số vụ tấn công đã được ghi nhận, nhóm tin tặc không chỉ chiếm quyền kiểm soát hệ thống nội bộ mà còn chiếm đoạt luôn tên miền của dự án DeFi. Sau khi nắm quyền quản trị tên miền, chúng thay đổi cấu hình trỏ sang một trang xác thực giả mạo mạo danh Cloudflare, yêu cầu người dùng nhập thêm thông tin nhạy cảm để “xác minh danh tính” hoặc “bảo mật tài khoản”. Điều này tạo thêm tầng thiệt hại, khi không chỉ hệ thống doanh nghiệp bị xâm nhập mà người dùng cuối và nhà đầu tư **tiền mã hóa** cũng bị cuốn vào bẫy.

Newson cho biết: “Các trang giả mạo được thiết kế rất tinh vi, quy trình tương tác cũng mượt mà và hợp lý đến mức nhiều giải pháp bảo mật truyền thống không đánh dấu được là bất thường”.

bình luận: Việc lạm dụng các thương hiệu hạ tầng phổ biến như Cloudflare khiến người dùng càng khó phân biệt thật – giả, đặc biệt trong bối cảnh nhiều dự án **tiền mã hóa** thực sự sử dụng các lớp bảo vệ này.

Một trong những điểm nguy hiểm nhất của **Mach-O Man** là khả năng xóa dấu vết. Sau khi mã độc được thực thi và hoàn tất việc thu thập thông tin, đánh cắp khóa API, cookie phiên đăng nhập và token truy cập, nó tự động gỡ bỏ khỏi hệ thống hoặc ẩn mình rất kỹ, khiến nạn nhân khó nhận ra bất kỳ dấu hiệu bất thường nào trong thời gian ngắn.

Theo Newson, “rất nhiều nạn nhân có khả năng không hề biết mình đã bị tấn công. Ngay cả khi phát hiện ra dấu hiệu xâm nhập, việc xác định chính xác mình bị biến thể nào của chiến dịch **Mach-O Man** tấn công cũng cực kỳ khó khăn”.

bình luận: Điều này đồng nghĩa phần lớn thiệt hại trong lĩnh vực **tiền mã hóa** có thể đang bị đánh giá thấp, bởi không phải tất cả vụ lộ khóa, mất quyền truy cập hay thất thoát tài sản đều được truy vết ngược về Lazarus.

Giới chuyên gia cho rằng chiến dịch **Mach-O Man** một lần nữa cho thấy Triều Tiên đang vận hành hoạt động “hack crypto” như một ngành công nghiệp quốc gia, với quy trình, mục tiêu và cấu trúc tổ chức rõ ràng. Các tổ chức an ninh mạng quốc tế ngày càng có xu hướng phân loại Lazarus không chỉ là một nhóm hacker, mà là một “mối đe dọa thường trực và có tổ chức” đối với toàn bộ hệ sinh thái **tiền mã hóa**.

bình luận: Với việc khối tài sản lên tới hàng tỷ USD đã bị đánh cắp, cộng thêm khả năng tái đầu tư nguồn vốn này cho hoạt động tấn công mới, Lazarus đang tạo ra vòng xoáy rủi ro kéo dài cho các dự án **tiền mã hóa**, sàn giao dịch, giao thức DeFi và cả nhà đầu tư tổ chức lẫn cá nhân. Trong bối cảnh đó, việc nâng cấp quy trình bảo mật nội bộ, xác thực nhiều lớp cho tài khoản quản trị và đào tạo nhân sự về rủi ro xã hội kỹ thuật (social engineering) trở thành yêu cầu sống còn đối với mọi doanh nghiệp vận hành trên hạ tầng **tiền mã hóa** và **fintech**.