Mã độc Infiniti Stealer lây lan qua trang CAPTCHA giả Cloudflare, nhắm vào ví tài sản mã hóa và dữ liệu nhạy cảm trên macOS trong bối cảnh thiệt hại toàn ngành đạt 3,4 tỷ USD năm 2025.
Các nhà nghiên cứu bảo mật từ Malwarebytes vừa phát hiện một chiến dịch tấn công mới nhắm vào người dùng tài sản mã hóa trên macOS, sử dụng trang CAPTCHA giả mạo giao diện xác minh của Cloudflare để phát tán phần mềm đánh cắp dữ liệu có tên Infiniti Stealer.
Điểm đáng lo ngại của chiến dịch này nằm ở cơ chế lây nhiễm: thay vì khai thác lỗ hổng hệ thống, kẻ tấn công đánh lừa chính người dùng tự thực thi lệnh độc hại, một kỹ thuật được gọi là ClickFix, vốn phổ biến trên Windows nhưng đang được điều chỉnh để tấn công hệ sinh thái Apple.
macOS không còn là vùng an toàn trước mã độc tài sản mã hóa
Quy trình tấn công được thiết kế tinh vi để qua mặt các lớp phòng thủ truyền thống. Người dùng truy cập vào một trang web có domain giả danh dịch vụ kiểm tra cập nhật, hiển thị giao diện CAPTCHA giống hệt Cloudflare. Sau khi nhấp xác nhận, trang yêu cầu mở Terminal và dán một lệnh được trình bày như bước xác minh thông thường.
Lệnh này thực chất là một script cài đặt ẩn, kết nối đến máy chủ điều khiển từ xa để tải về và triển khai Infiniti Stealer mà không hiển thị bất kỳ cảnh báo nào. Phần mềm độc hại được biên dịch thành binary gốc của macOS thay vì các script dễ đọc, khiến việc phân tích và phát hiện trở nên khó khăn hơn đáng kể.
Sau khi xâm nhập thành công, Infiniti Stealer trích xuất dữ liệu ví tài sản mã hóa, thông tin đăng nhập từ trình duyệt, dữ liệu macOS Keychain, các tệp văn bản của nhà phát triển và ảnh chụp màn hình trong quá trình thực thi. Mã độc còn tích hợp cơ chế phát hiện môi trường phân tích để tránh bị nghiên cứu, đồng thời gửi thông báo qua Telegram khi hoàn tất trích xuất và đưa thông tin đăng nhập thu thập được vào hàng đợi bẻ khóa mật khẩu phía máy chủ.
Đây không phải mối đe dọa đơn lẻ. Tháng 3 vừa qua, mã độc GhostClaw được phát tán qua npm, trình quản lý gói JavaScript phổ biến, dưới vỏ bọc công cụ hợp pháp mang tên OpenClaw, triển khai tấn công nhiều giai đoạn nhằm đánh cắp khóa riêng và quyền truy cập ví trước khi bị gỡ xuống sau khi 178 nhà phát triển đã tải về.
Bức tranh rộng hơn cho thấy mức độ nghiêm trọng của xu hướng này: theo Chainalysis, tỷ lệ các vụ xâm phạm ví cá nhân trong tổng giá trị bị đánh cắp đã tăng từ 7,3% năm 2022 lên 44% vào năm 2024, trong khi tổng thiệt hại toàn ngành năm 2025 đã đạt 3,4 tỷ USD.
Với người dùng macOS, khuyến cáo thực hành đơn giản nhất vẫn là tuyệt đối không dán lệnh vào Terminal từ bất kỳ nguồn nào không được xác minh rõ ràng.
