Trong nhiều năm, người dùng Mac thường có cảm giác an toàn hơn trước phần mềm độc hại so với người dùng Windows. Nhưng bức tranh đó đang thay đổi. Một dòng mã độc có tên AMOS, còn được biết đến với tên Atomic macOS Stealer, đang cho thấy macOS không còn là vùng đất “ít rủi ro” như nhiều người từng nghĩ.
Điểm nguy hiểm của AMOS không nằm ở việc nó sử dụng lỗ hổng zero-day tinh vi hay kỹ thuật tấn công quá phức tạp. Ngược lại, mã độc này thường dựa vào một cách tiếp cận rất đời thường: lừa người dùng tự tay mở Terminal và chạy một dòng lệnh độc hại. Chỉ một thao tác tưởng như đơn giản đó cũng có thể mở đường cho kẻ tấn công chiếm đoạt dữ liệu nhạy cảm trên máy.
Một vụ việc gần đây do nhóm Sophos MDR điều tra cho thấy kịch bản rất rõ. Nạn nhân bị dẫn dụ bằng kiểu tấn công ClickFix, tức bị thuyết phục rằng họ cần chạy một lệnh nào đó để “sửa lỗi” hoặc hoàn tất một thao tác kỹ thuật. Thay vì khai thác trực tiếp hệ thống, kẻ tấn công khai thác chính sự tin tưởng và thói quen làm theo hướng dẫn của người dùng.
Theo Sophos, AMOS chiếm gần 40% tổng số bản cập nhật bảo vệ macOS mà hãng triển khai trong năm 2025, cao hơn gấp đôi so với bất kỳ họ mã độc macOS nào khác trong cùng giai đoạn. Trong ba tháng gần đây, gần một nửa các báo cáo liên quan đến mã độc đánh cắp dữ liệu trên macOS của khách hàng cũng có liên quan đến AMOS hoặc các biến thể gần giống.
Sau khi dòng lệnh độc hại được thực thi, AMOS thường tải về một đoạn mã khởi động, sau đó yêu cầu người dùng nhập mật khẩu hệ thống macOS. Mật khẩu này được kiểm tra cục bộ rồi lưu vào một tệp ẩn trong thư mục người dùng. Đây là bước đặc biệt nguy hiểm, bởi nó biến sự hợp tác vô tình của nạn nhân thành chìa khóa để mã độc đi sâu hơn vào hệ thống.
Khi đã có quyền truy cập cần thiết, AMOS tải thêm payload phụ, loại bỏ một số thuộc tính mở rộng nhằm né cảnh báo bảo mật của macOS. Mã độc cũng kiểm tra xem nó có đang chạy trong máy ảo hay môi trường sandbox hay không, bằng cách truy vấn dữ liệu hệ thống để tìm các dấu hiệu như QEMU, VMware hoặc KVM.
Từ đó, AMOS bắt đầu thu thập hàng loạt dữ liệu nhạy cảm: cơ sở dữ liệu Keychain của macOS, thông tin đăng nhập trong trình duyệt Firefox và Chrome, dữ liệu tiện ích mở rộng, token phiên đăng nhập cục bộ và nhiều tệp liên quan khác. Một số biến thể còn giả mạo ứng dụng Ledger Wallet hoặc Trezor Suite để đánh cắp seed phrase và thông tin ví tiền mã hóa.
Toàn bộ dữ liệu sau đó được nén thành một tệp lưu trữ bằng tiện ích có sẵn trên macOS, rồi gửi về máy chủ do kẻ tấn công kiểm soát. Để duy trì quyền truy cập lâu dài, mã độc còn cài LaunchDaemon nhằm tự động chạy lại sau mỗi lần hệ thống khởi động.
Dù vậy, câu chuyện về AMOS cũng cần được nhìn tỉnh táo. Về bản chất, mã độc đánh cắp thông tin không phải điều mới; Windows đã phải đối mặt với loại đe dọa này suốt gần hai thập kỷ. Điểm đáng chú ý nằm ở chỗ macOS đang trở thành mục tiêu hấp dẫn hơn, còn kỹ thuật lừa đảo thì ngày càng được đóng gói chuyên nghiệp hơn.
Rào cản lớn nhất của AMOS vẫn là nó cần người dùng tự chạy lệnh trong Terminal. Với những người có kiến thức kỹ thuật và thói quen kiểm tra kỹ cảnh báo bảo mật, đây là điều hoàn toàn có thể tránh. Nhưng trong thực tế, chỉ cần một hướng dẫn đủ thuyết phục, một trang giả mạo đủ giống thật, hoặc một tâm lý vội vàng, nhiều người vẫn có thể mắc bẫy.
Apple đang tiếp tục cải thiện các lớp phòng vệ như Gatekeeper, XProtect và yêu cầu notarization để giảm nguy cơ từ những chiến dịch kiểu này. Tuy nhiên, AMOS nhắc lại một sự thật khó chịu: không nền tảng nào miễn nhiễm với rủi ro nếu người dùng bị thuyết phục bỏ qua các cảnh báo cơ bản.
Với người dùng Mac, bài học quan trọng nhất rất đơn giản: đừng bao giờ sao chép và chạy lệnh Terminal từ một trang web, email hoặc cửa sổ hướng dẫn không thật sự đáng tin. Trong thời đại mà mã độc có thể ngụy trang như một bước “sửa lỗi” vô hại, sự cảnh giác của người dùng vẫn là lớp phòng thủ đầu tiên.
