Bybit đã tiết lộ chi tiết về một chiến dịch phần mềm độc hại macOS nhiều giai đoạn nhắm vào người dùng tìm kiếm "Claude Code", một công cụ phát triển dựa trên trí tuệ nhân tạo của Anthropic, theo những phát hiện được Trung tâm Điều hành An ninh (SOC) của công ty công bố và chia sẻ với Finbold vào ngày 21 tháng 4.
Công ty cho biết chiến dịch này đại diện cho một trong những trường hợp đầu tiên được ghi nhận công khai mà một sàn sàn giao dịch crypto tập trung (Sàn tập trung (CEX)) đã xác định và phân tích một mối đe dọa đang hoạt động bằng cách khai thác các kênh phát hiện công cụ AI để nhắm mục tiêu vào các nhà phát triển.
Theo Bybit, chiến dịch này được phát hiện lần đầu vào tháng 3 năm 2026 và dựa vào việc làm suy yếu tối ưu hóa công cụ tìm kiếm (SEO) để đưa một tên miền độc hại lên đầu kết quả tìm kiếm của Google. Người dùng tìm kiếm "Claude Code" đã bị chuyển hướng đến một trang cài đặt giả mạo được thiết kế để giống hệt với tài liệu hướng dẫn hợp pháp.
Chuỗi độc hại nhiều giai đoạn nhắm mục tiêu vào thông tin đăng nhập và ví tiền điện tử.
Phân tích của Bybit cho thấy cuộc tấn công đã triển khai một chuỗi mềm độc hại hai giai đoạn. Phần mềm độc hại ban đầu, được phân phối thông qua trình thả Mach-O, đã cài đặt một phần mềm đánh cắp thông tin dựa trên osascript có các đặc điểm tương tự như các biến thể Hoạt động thị trường thuật toán và Banshee đã biết.
Phần mềm đánh cắp thông tin đã thực hiện quy trình che giấu nhiều giai đoạn để trích xuất dữ liệu nhạy cảm, bao gồm thông tin đăng nhập trình duyệt, các mục trong macOS Keychain, phiên Telegram, cấu hình VPN và thông tin ví tiền điện tử. Các nhà nghiên cứu Bybit đã xác định các nỗ lực truy cập có chủ đích vào hơn 250 tiện ích mở rộng ví dựa trên trình duyệt, cũng như nhiều ứng dụng Ví máy tính bàn .
Phần mềm độc hại giai đoạn hai đã cài đặt một cửa hậu dựa trên C++ với các kỹ thuật né tránh nâng cao như phát hiện hộp cát và cấu hình thời gian chạy được mã hóa. Phần mềm độc hại này thiết lập Persistence thông qua các tác nhân cấp hệ thống và cho phép thực thi lệnh từ xa thông qua thăm dò dựa trên HTTP, cho phép kẻ tấn công duy trì quyền kiểm soát liên tục đối với các thiết bị bị xâm nhập.
Cuộc điều tra cũng phát hiện ra các thủ đoạn tấn công phi kỹ thuật, bao gồm cả việc sử dụng các lời nhắc mật khẩu macOS giả mạo để xác thực và lưu trữ thông tin đăng nhập của người dùng. Trong một số trường hợp, kẻ tấn công đã cố gắng thay thế các ứng dụng ví điện tử hợp pháp như Ledger Live và Trezor Suite bằng các phiên bản bị nhiễm mã độc được lưu trữ trên cơ sở hạ tầng độc hại.
Phân tích hỗ trợ bởi trí tuệ nhân tạo giúp tăng tốc quá trình phát hiện và ứng phó.
Bybit cho biết trung tâm điều hành an ninh mạng (SOC) của họ đã tận dụng quy trình làm việc hỗ trợ bởi trí tuệ nhân tạo (AI) trong toàn bộ vòng đời phân tích phần mềm độc hại, giúp giảm đáng kể thời gian phản hồi trong khi vẫn duy trì độ sâu phân tích. Việc phân loại và sàng lọc ban đầu mẫu Mach-O được hoàn thành trong vòng vài phút, với các mô hình AI chỉ ra những điểm tương đồng về hành vi với các họ phần mềm độc hại đã biết.
Theo công ty, việc phân tích ngược mã nguồn và phân tích luồng điều khiển bằng trí tuệ nhân tạo đã giảm thời gian kiểm tra chuyên sâu lỗ hổng bảo mật giai đoạn hai từ ước tính sáu đến tám giờ xuống còn dưới 40 phút. Các quy trình trích xuất tự động đã xác định các dấu hiệu xâm phạm, bao gồm cơ sở hạ tầng điều khiển, chữ ký tệp và các mẫu hành vi, được đối chiếu với các khung đe dọa đã được thiết lập.
Những khả năng này cho phép triển khai các biện pháp phát hiện ngay trong cùng ngày. Việc tạo quy tắc hỗ trợ bởi AI đã giúp tạo ra các chữ ký mối đe dọa và các quy tắc phát hiện điểm cuối, được các nhà phân tích xác nhận trước khi đưa vào môi trường sản xuất. Bybit cho biết các bản nháp báo cáo do AI tạo ra đã giảm thời gian xử lý, cho phép hoàn thiện các kết quả tình báo về mối đe dọa nhanh hơn khoảng 70% so với quy trình làm việc truyền thống.
“Là một trong những sàn giao dịch tiền điện tử đầu tiên công khai ghi nhận loại chiến dịch phần mềm độc hại này, chúng tôi tin rằng việc chia sẻ những phát hiện này rất quan trọng để tăng cường khả năng phòng thủ tập thể trong toàn ngành,” David Zong, Trưởng bộ phận Kiểm soát Rủi ro và An ninh Tập đoàn tại Bybit cho biết. “Trung tâm điều hành an ninh (SOC) được hỗ trợ bởi AI của chúng tôi cho phép chúng tôi chuyển từ phát hiện sang khả năng hiển thị toàn bộ chuỗi tấn công chỉ trong một cửa sổ hoạt động duy nhất. Những việc trước đây cần một nhóm các nhà phân tích làm việc theo nhiều ca – giải mã ngược, trích xuất IOC, soạn thảo báo cáo, viết quy tắc – giờ đây được hoàn thành trong một phiên duy nhất với AI đảm nhiệm phần việc nặng nhọc và các nhà phân tích của chúng tôi cung cấp đánh giá và xác nhận. Nhìn về tương lai, chúng ta sẽ phải đối mặt với một cuộc chiến AI. Sử dụng AI để phòng thủ chống lại AI là một xu hướng không thể tránh khỏi. Bybit sẽ tiếp tục tăng cường đầu tư vào AI cho an ninh, đạt được khả năng phát hiện mối đe dọa ở mức độ từng phút và phản ứng khẩn cấp tự động, thông minh.”
Phần mềm độc hại này nhắm mục tiêu vào nhiều môi trường khác nhau, bao gồm các trình duyệt dựa trên Chromium, các biến thể của Firefox, dữ liệu Safari, Apple Notes và các thư mục tệp cục bộ thường được sử dụng để lưu trữ thông tin tài chính hoặc xác thực nhạy cảm.
Bybit cho biết họ đã xác định được nhiều tên miền và điểm cuối điều khiển liên quan đến chiến dịch này, tất cả đều đã được vô hiệu hóa để công khai. Phân tích cho thấy những kẻ tấn công dựa vào việc thăm dò HTTP gián đoạn thay vì kết nối liên tục, khiến việc phát hiện trở nên khó khăn hơn.
Theo Bybit, cơ sở hạ tầng độc hại liên quan đến chiến dịch này đã được xác định vào ngày 12 tháng 3. Toàn bộ quá trình phân tích, giảm thiểu và các biện pháp phát hiện nội bộ đã được hoàn tất trong cùng ngày. Thông tin được công bố rộng rãi vào ngày 20 tháng 3, kèm theo hướng dẫn chi tiết về cách phát hiện và khắc phục để giúp người dùng xác định và giảm thiểu các mối đe dọa tương tự.
Ảnh minh họa được lấy từ Shutterstock.
