Kể từ khi Apple loại bỏ tính năng ghi đè Gatekeeper phổ biến là “nhấp chuột phải và mở” vào tháng 8 năm 2024, các tác nhân đe dọa đã thay đổi chiến thuật để phát tán mã độc trên hệ điều hành macOS. Sự chuyển dịch này đánh dấu một bước phát triển đáng kể trong các chiến lược tấn công macOS.

Sự Chuyển Đổi Chiến Thuật Khai Thác Trên macOS

Việc Apple gỡ bỏ khả năng ghi đè Gatekeeper đã loại bỏ một trong những vector lây nhiễm hiệu quả nhất đối với mã độc trên macOS. Trước đây, người dùng có thể dễ dàng chạy các ứng dụng không được ký hoặc không rõ nguồn gốc, đôi khi bỏ qua các cảnh báo bảo mật, nhưng giờ đây điều đó đã thay đổi.

Phản ứng lại, các tác nhân đe dọa đã phát triển các phương pháp phân phối thay thế. Ban đầu, nhiều phương pháp yêu cầu nạn nhân tương tác thủ công với Terminal. Điều này tạo ra một rào cản đáng kể cho việc khai thác thành công và giảm tỷ lệ lây nhiễm.

Hiện nay, các tác nhân đe dọa đã khám phá một phương pháp né tránh tinh vi hơn: vũ khí hóa các tệp AppleScript (.scpt) để thực thi payload độc hại. Đây là một vector mới trong chuỗi tấn công macOS, vẫn duy trì khả năng chối bỏ trách nhiệm, khiến việc nhận diện nguồn gốc tấn công trở nên khó khăn hơn.

Cơ chế này đã được nghiên cứu và chia sẻ bởi các nhà nghiên cứu bảo mật. Một phân tích chi tiết có thể được tìm thấy tại pberba.github.io/security/2025/11/11/macos-infection-vector-applescript-bypass-gatekeeper/, cung cấp cái nhìn sâu sắc về phương pháp này.

Cơ Chế Bypass Gatekeeper Bằng AppleScript

Chuỗi tấn công sử dụng AppleScript rất đơn giản nhưng hiệu quả. Theo mặc định, các tệp .scpt sẽ mở trong ứng dụng Script Editor khi được nhấp đúp. Kẻ tấn công nhúng các lệnh độc hại vào các script này, đồng thời sử dụng các thủ thuật kỹ thuật xã hội để khuyến khích người dùng thực thi chúng.

Các bình luận trong script thường được thiết kế để thuyết phục người dùng chạy nó, thường giấu mã độc hại thực tế sau nhiều dòng trống hoặc các đoạn code hợp pháp giả mạo. Điều này làm cho việc kiểm tra thủ công trở nên khó khăn hơn.

Khi người dùng nhấp vào nút “Run” hoặc nhấn Command+R, script sẽ thực thi ngay lập tức. Điều đáng chú ý là hành động này vẫn xảy ra ngay cả khi tệp đã bị Gatekeeper gắn cờ là bị kiểm dịch (quarantined), bỏ qua một lớp bảo vệ quan trọng.

Phương pháp này đặc biệt nguy hiểm vì Script Editor là một ứng dụng macOS hợp pháp. Điều này khiến cuộc tấn công ít đáng ngờ hơn so với các cơ chế phân phối mã độc truyền thống. Nó khai thác sự tin tưởng của người dùng vào các ứng dụng hệ thống, dẫn đến việc tăng khả năng thành công của các chiến dịch tấn công macOS.

Kỹ Thuật Kỹ Thuật Xã Hội Nâng Cao Trong Mã Độc AppleScript

Các nhà nghiên cứu bảo mật đã xác định các tệp .scpt được sử dụng để tạo ra các tài liệu giả mạo và trình cài đặt ứng dụng rất thuyết phục. Điều này ban đầu là kỹ thuật của các tác nhân đe dọa cấp cao (APT) nhưng hiện đã được các nhóm mã độc thông thường như Odyssey Stealer và MacSync Stealer áp dụng rộng rãi.

Sự “lan truyền” của các chiến thuật APT cho thấy kỹ thuật này đã trưởng thành và trở thành một vector tấn công macOS được sử dụng rộng rãi, ảnh hưởng đến nhiều đối tượng người dùng.

Kẻ tấn công đã tạo ra các tệp .docx và .pptx giả mạo các tài liệu hợp pháp, chẳng hạn như đề xuất tài chính hoặc thỏa thuận đầu tư. Chúng được bổ sung các biểu tượng tùy chỉnh để tăng độ tin cậy và thuyết phục người dùng mở chúng.

Tương tự, các trình cài đặt cập nhật giả mạo cho các ứng dụng phổ biến như Microsoft Teams và Zoom cũng được phân phối thông qua các trang web lừa đảo tinh vi, được thiết kế đặc biệt để đánh lừa người dùng macOS.

Ngoài việc ngụy trang tên tệp, kẻ tấn công còn tăng cường thành phần kỹ thuật xã hội bằng cách gán các biểu tượng tùy chỉnh cho tệp .scpt. Các biểu tượng này được lưu trữ trong resource fork của tệp và được bảo toàn khi tệp được phân phối qua kho lưu trữ ZIP hoặc DMG.

Khi người dùng giải nén các tệp này, họ sẽ thấy các biểu tượng tài liệu hoặc ứng dụng giả mạo rất thuyết phục, thay vì các chỉ báo script thông thường. Điều này làm tăng đáng kể khả năng thực thi của AppleScript độc hại, dẫn đến lây nhiễm thành công.

Thách Thức Trong Phát Hiện Mã Độc AppleScript

Phân tích trên VirusTotal tiết lộ rằng nhiều tệp .scpt độc hại này đã hoàn toàn né tránh được sự phát hiện, với không có công cụ chống vi-rút nào gắn cờ chúng là độc hại. Điều này nhấn mạnh sự tinh vi của phương pháp tấn công macOS và khả năng bỏ qua các giải pháp bảo mật truyền thống.

Khi các tệp này được giải nén trên thiết bị macOS, biểu tượng tùy chỉnh sẽ được hiển thị, tạo ra một tài liệu giả mạo trông rất thuyết phục và khó phân biệt. Các mẫu sử dụng kỹ thuật này đã được phát hiện dưới dạng cập nhật Microsoft Teams SDK, cập nhật Zoom SDK và các gói phần mềm chung chung. Điều này chứng minh phạm vi rộng của các kịch bản tấn công mà kẻ xấu có thể triển khai.

Biện Pháp Phòng Thủ và Phát Hiện Xâm Nhập

Sự xuất hiện của các phương thức phân phối dựa trên AppleScript đại diện cho một mối đe dọa tấn công macOS nghiêm trọng. Không giống như Windows, nơi các cuộc tấn công dựa trên script tương tự đã được giảm thiểu thông qua việc thay đổi các ứng dụng mặc định, người dùng macOS hiện tại thiếu các tùy chọn phòng thủ đơn giản và hiệu quả.

Các nhóm bảo mật có thể triển khai các biện pháp phòng thủ bằng cách thay đổi ứng dụng mặc định cho các tệp .scpt. Chuyển nó khỏi Script Editor sang một trình soạn thảo văn bản hoặc ứng dụng không thực thi mã, tương tự như các khuyến nghị cho các tệp .js và .vbs trên Windows, có thể giảm thiểu rủi ro đáng kể.

Các nhà săn lùng mối đe dọa (threat hunters) có thể phát hiện các script độc hại bằng cách tìm kiếm các mẫu lệnh đáng ngờ. Điều này bao gồm các chuỗi bị làm rối (obfuscated strings) và các mã sự kiện liên quan đến thực thi shell script trong nhật ký hệ thống hoặc các công cụ giám sát điểm cuối.

Khi các tác nhân đe dọa tiếp tục tinh chỉnh các kỹ thuật này và áp dụng các chiến lược che giấu tương tự như các cuộc tấn công PowerShell, các tổ chức phải duy trì cảnh giác trong việc giám sát các mối đe dọa dựa trên AppleScript nhắm mục tiêu vào môi trường macOS của họ. Việc chủ động phát hiện các dấu hiệu tấn công macOS là rất cần thiết để bảo vệ hệ thống.

Các Chỉ Báo Về Hoạt Động Tấn Công (IOA)

Mặc dù nội dung không cung cấp các Chỉ Báo Về Sự Thỏa Hiệp (IOC) cụ thể như hash file, nhưng các Chỉ Báo Về Hoạt Động Tấn Công (Indicators of Attack – IOA) sau đây có thể giúp phát hiện các cuộc tấn công dựa trên AppleScript:

• Sự hiện diện của các tệp .scpt đáng ngờ được gửi qua email hoặc tải xuống từ các nguồn không đáng tin cậy.
• Tệp .scpt có biểu tượng tùy chỉnh không phù hợp với loại tệp hoặc tên tệp.
• Quá trình thực thi Script Editor không rõ nguyên nhân, đặc biệt nếu nó kích hoạt các lệnh shell hoặc các tiến trình khác bất thường, không có tương tác rõ ràng từ người dùng.
• Sự xuất hiện của các trình cài đặt ứng dụng giả mạo (ví dụ: Zoom, Teams SDK) từ các miền lừa đảo (phishing domains) hoặc các trang web không chính thức.
• Sự hiện diện của các mã độc như Odyssey Stealer hoặc MacSync Stealer trong môi trường được phát hiện bởi các giải pháp bảo mật điểm cuối.