Cảnh báo chiến dịch tấn công mạng lợi dụng Captcha giả để đánh cắp dữ liệu người dùng Apple

Theo Công ty an ninh mạng CloudSEK, chiến dịch này tận dụng các tên miền giả mạo (typosquat) mô phỏng nhà mạng viễn thông Mỹ Spectrum như panel-spectrum[.]net hoặc spectrum-ticket[.]net. Khi người dùng truy cập, trang web yêu cầu họ thực hiện kiểm tra hCaptcha nhằm "xác minh kết nối an toàn". Tuy nhiên, sau khi chọn “Tôi không phải người máy”, người dùng sẽ thấy thông báo lỗi Captcha và được chuyển sang “phương thức xác minh thay thế”.

Ảnh minh họa. 

Thao tác này sẽ tự động sao chép một đoạn mã vào clipboard và hướng dẫn người dùng dán vào cửa sổ Terminal trên macOS (hoặc PowerShell trên Windows). Trên macOS, mã độc yêu cầu nhập mật khẩu hệ thống rồi tải xuống payload tiếp theo chính là AMOS một loại phần mềm đánh cắp thông tin, mật khẩu và dữ liệu trình duyệt.

Theo chuyên gia bảo mật Koushik Pal, mã độc được viết bằng ngôn ngữ gốc của macOS, có khả năng vượt qua cơ chế bảo mật tích hợp và thực thi mã nhị phân độc hại. Mã nguồn của nó cũng chứa nhiều chú thích tiếng Nga, cho thấy khả năng cao đây là sản phẩm của nhóm tin tặc nói tiếng Nga.

Dù cấu trúc website phát tán còn sơ sài và thiếu logic ví dụ như hướng dẫn dùng phím Windows trên cả Linux và macOS nhưng kỹ thuật ClickFix vẫn đang trở thành một kỹ thuật phát tán phần mềm độc hại phổ biến trong năm qua. Các cuộc tấn công thường bắt đầu bằng email lừa đảo, liên kết giả mạo trên GitHub hoặc các nền tảng quen thuộc, từ đó dụ người dùng truy cập trang Captcha giả và thực hiện hành động tưởng như vô hại.

Thực tế, người dùng đã vô tình tự vượt qua rào cản bảo mật và trao quyền cho tin tặc chiếm quyền kiểm soát thiết bị. Theo công ty an ninh mạng Darktrace, nhiều chiến dịch sử dụng ClickFix đã được phát hiện tại Mỹ, châu Âu, Trung Đông và châu Phi, với mục tiêu cuối cùng là cài cắm mã độc: từ trojan, stealer đến ransomware.

Tuần trước, Cofense cũng phát hiện một chiến dịch giả mạo Booking.com, nhắm vào các chuỗi khách sạn và dịch vụ ăn uống. Email lừa đảo chứa Captcha giả dẫn đến mã độc như XWorm RAT, PureLogs Stealer hoặc DanaBot. Một số biến thể ClickFix còn được ngụy trang dưới dạng banner chấp nhận cookie: khi người dùng bấm “Chấp nhận”, một đoạn mã độc sẽ được tải về và yêu cầu chạy như thể đang cài đặt cookie thông thường.

Trong một sự cố vào tháng 4/2025, Darktrace ghi nhận tin tặc sử dụng ClickFix để tải mã độc không rõ định danh, xâm nhập hệ thống, di chuyển ngang qua các thiết bị khác, thu thập thông tin hệ thống rồi gửi về máy chủ điều khiển qua giao thức HTTP POST.

Các chuyên gia cảnh báo, ClickFix đang khai thác chính thói quen phản xạ của người dùng internet hiện đại vốn đã quá quen với Captcha, popup và các yêu cầu xác minh. Theo ông Daniel Kelley - chuyên gia an ninh tại SlashNext, nhiều người vì “mệt mỏi xác minh” đã nhấn chấp nhận mà không mảy may nghi ngờ. Đây chính là kẽ hở để tội phạm mạng vượt qua hàng rào bảo mật và chiếm đoạt dữ liệu nhạy cảm.

 Duy Trinh (theo The Hacker News)