Nhóm Lazarus tung 악성코드 “Mach-O Man” tấn công người dùng macOS và doanh nghiệp tiền mã hóa

Báo cáo mới cho thấy nhóm tin tặc “Lazarus” được cho là có liên hệ với Triều Tiên đang triển khai một chiến dịch *악성코드* mới nhắm vào người dùng *macOS*. Khác với những vụ tấn công lớn từng gây chấn động *ngành tiền mã hóa*, lần này Lazarus mở rộng mục tiêu sang cả các doanh nghiệp truyền thống, khiến giới an ninh mạng và *các công ty tiền mã hóa* càng cảnh giác.

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), chuyên gia bảo mật kiêm nhà sáng lập công ty tình báo mối đe dọa BCA Ltd, ông Mauro Eldritch, đã công bố một bộ công cụ *악성코드* mới có tên “Mach-O Man”. Bộ công cụ này tận dụng kỹ thuật *xã hội học (social engineering)* mang tên “ClickFix”, dụ nạn nhân tham gia các cuộc họp Zoom hoặc Google Meet giả mạo, sau đó khéo léo buộc chính người dùng tự chạy lệnh độc hại trên máy.

Các nhà nghiên cứu cho biết cách tiếp cận này có thể giúp tin tặc vượt qua nhiều lớp kiểm soát bảo mật hiện có, từ đó âm thầm chiếm quyền truy cập vào thông tin đăng nhập và hệ thống nội bộ của doanh nghiệp. Khi tấn công thành công, kẻ xấu có thể chiếm tài khoản, xâm nhập hạ tầng, gây thiệt hại tài chính và làm rò rỉ dữ liệu nhạy cảm ở cấp độ nghiêm trọng.

Theo phân tích kỹ thuật, giai đoạn cuối của chiến dịch là triển khai một *악성코드 đánh cắp dữ liệu (stealer)*. Mã độc này tập trung thu thập dữ liệu từ tiện ích mở rộng trình duyệt, thông tin đăng nhập đã lưu, cookie, các mục trong Keychain của macOS và nhiều thông tin nhạy cảm khác. Dữ liệu sau đó được nén lại thành file, gửi về cho tin tặc thông qua ứng dụng Telegram. Cuối cùng, một script tự xóa sẽ tận dụng lệnh rm trong hệ điều hành để xóa dấu vết trên hệ thống.

Nhóm Lazarus từ lâu đã bị cáo buộc là tác giả đứng sau nhiều vụ tấn công lớn vào *thị trường tiền mã hóa*. Đáng chú ý, nhóm này được cho là có liên quan đến vụ hack sàn giao dịch Bybit xảy ra năm 2025, với tổng thiệt hại lên tới khoảng 1,4 tỷ đô la Mỹ, tương đương khoảng 2.092,5 tỷ đồng. Trước đó, vào tháng 4 cùng năm, đã xuất hiện báo cáo cho rằng Lazarus dùng công cụ *AI* kết hợp kỹ thuật *xã hội học* để chiếm khoảng 100.000 đô la Mỹ từ dịch vụ ví Zerion, tiếp tục khẳng định mức độ tinh vi ngày càng gia tăng của các chiến dịch tấn công vào *người dùng tiền mã hóa*.

*bình luận* Các chuyên gia nhận định chiến dịch “Mach-O Man” một lần nữa cho thấy Lazarus không chỉ nhắm vào các công ty “crypto-native” như sàn giao dịch hay dịch vụ ví, mà còn tận dụng cả những bối cảnh làm việc thường ngày như lời mời họp trực tuyến để tấn công doanh nghiệp truyền thống. Điều này đồng nghĩa cả *các công ty tiền mã hóa* lẫn doanh nghiệp thông thường đều cần nâng cấp tiêu chuẩn bảo mật lên cùng một mặt bằng, từ đào tạo nhận diện lừa đảo *xã hội học* đến triển khai cơ chế bảo vệ nhiều lớp, nếu không muốn trở thành nạn nhân tiếp theo của các chiến dịch *악성코드* kiểu mới.