Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
Hot
Hỗ trợ Visa, Mastercard, SEPA...
P2P tiền (P2P)
0 Fees
Giao dịch linh hoạt, không phí
Thẻ Gate
Thanh toán tiền điện tử trên khắp thế giới
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
CFD
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
tag
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Square
Trung tâm
Khám phá giá trị của tiền điện tử
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
flower_head
Thêm
Khuyến mãi
AI
Khác
TradFi
WCTC S8
Phần thưởng

Microsoft: Triển khai ClickFix trên trang hỗ trợ khắc phục sự cố giả mạo macOS để đánh cắp khóa ví tiền mã hóa

MarketWhisper
Sự cố bảo mật

ClickFix竊取加密錢包金鑰

Theo Cryptopolitan vào ngày 11 tháng 5, nhóm nghiên cứu bảo mật của Microsoft Defender đã công bố kết quả điều tra, phát hiện kẻ tấn công từ cuối năm 2025 đã đăng các hướng dẫn khắc phục lỗi giả mạo macOS trên các nền tảng như Medium và Craft, nhằm dụ người dùng thực thi lệnh độc hại trong Terminal để từ đó cài đặt phần mềm độc hại nhằm đánh cắp khóa ví tiền mã hóa, dữ liệu iCloud và mật khẩu đã lưu trong trình duyệt.

Cơ chế tấn công: ClickFix vượt qua macOS Gatekeeper

Theo báo cáo của nhóm nghiên cứu bảo mật Microsoft Defender, kẻ tấn công sử dụng kỹ thuật lừa đảo xã hội có tên ClickFix: đăng các hướng dẫn khắc phục lỗi macOS được ngụy trang như “giải phóng dung lượng đĩa” hoặc “sửa lỗi hệ thống” trên các nền tảng như Medium, Craft và Squarespace, nhằm hướng dẫn người dùng sao chép lệnh độc hại và dán vào macOS Terminal; sau khi lệnh được thực thi, phần mềm độc hại sẽ tự động tải xuống và khởi động.

Theo báo cáo của Microsoft, thủ pháp này vượt qua cơ chế bảo mật macOS Gatekeeper vì Gatekeeper áp dụng xác thực chữ ký mã và quy trình công chứng đối với các ứng dụng được mở thông qua Finder, nhưng cách người dùng trực tiếp chạy lệnh trong Terminal không bị ràng buộc bởi bước xác thực này. Các nhà nghiên cứu cũng phát hiện kẻ tấn công dùng curl, osascript và các công cụ gốc khác của macOS để thực thi mã độc trực tiếp trong bộ nhớ (tấn công không cần tệp), khiến các công cụ chống virus tiêu chuẩn khó phát hiện.

Họ phần mềm độc hại, phạm vi đánh cắp và cơ chế đặc biệt

Theo báo cáo của Microsoft, hoạt động tấn công này liên quan đến ba họ phần mềm độc hại (AMOS, Macsync, SHub Stealer) và ba loại trình cài đặt (Loader, Script, Helper), nhắm vào các dữ liệu mục tiêu sau:

Khóa ví tiền mã hóa: Exodus, Ledger, Trezor

Thông tin xác thực tài khoản: iCloud, Telegram

Mật khẩu lưu trên trình duyệt: Chrome, Firefox

Tệp và ảnh cá nhân: tệp cục bộ nhỏ hơn 2 MB

Sau khi cài đặt, phần mềm độc hại sẽ hiển thị hộp thoại giả mạo, yêu cầu người dùng nhập mật khẩu hệ thống để cài đặt “công cụ hỗ trợ”; nếu người dùng nhập mật khẩu, kẻ tấn công sẽ có quyền truy cập đầy đủ vào tệp và cấu hình hệ thống. Microsoft cũng cho biết, trong một số trường hợp, kẻ tấn công xóa các ứng dụng hợp pháp như Trezor Suite, Ledger Wallet và Exodus, rồi thay thế bằng các phiên bản cài mã Trojan để giám sát giao dịch và đánh cắp tiền. Ngoài ra, các chương trình được tải bởi phần mềm độc hại còn bao gồm công tắc dừng: nếu phát hiện bố cục bàn phím tiếng Nga, phần mềm độc hại sẽ tự động ngừng thực thi.

Hoạt động tấn công liên quan và biện pháp phòng vệ của Apple

Theo điều tra của các chuyên gia bảo mật ANY.RUN, Lazarus Group đã phát động chiến dịch tin tặc mang tên “Mach-O Man”, sử dụng kỹ thuật tương tự ClickFix, thông qua việc giả mạo lời mời họp để nhắm vào các công ty fintech và tiền mã hóa có macOS là hệ điều hành chính.

Cryptopolitan cũng đưa tin rằng, tổ chức tin tặc Triều Tiên Famous Chollima sử dụng AI để tạo mã, cấy gói npm độc hại vào các dự án giao dịch tiền mã hóa; phần mềm độc hại này áp dụng kiến trúc che giấu hai lớp, nhằm đánh cắp dữ liệu ví và thông tin mật của hệ thống.

Theo báo cáo, Apple đã bổ sung cơ chế phòng vệ trong phiên bản macOS 26.4, nhằm ngăn việc dán các lệnh bị đánh dấu là có khả năng độc hại vào Terminal của macOS.

Câu hỏi thường gặp

Hoạt động tấn công ClickFix trên macOS được Microsoft Defender tiết lộ bắt đầu từ khi nào và được đăng ở những nền tảng nào?

Theo báo cáo của nhóm nghiên cứu bảo mật Microsoft Defender và Cryptopolitan ngày 11 tháng 5 năm 2026, hoạt động tấn công trở nên sôi động từ cuối năm 2025; kẻ tấn công đăng các hướng dẫn khắc phục lỗi macOS giả mạo trên các nền tảng như Medium, Craft và Squarespace, nhằm dụ người dùng Mac thực thi lệnh độc hại trong Terminal.

Hoạt động tấn công này nhắm đến những ví tiền mã hóa và kiểu dữ liệu nào?

Theo báo cáo của Microsoft, phần mềm độc hại (AMOS, Macsync, SHub Stealer) có thể đánh cắp khóa ví của Exodus, Ledger và Trezor, dữ liệu tài khoản iCloud và Telegram, cũng như tên người dùng và mật khẩu được lưu trong Chrome và Firefox.

Apple đã tung ra những biện pháp phòng vệ nào cho kiểu tấn công này?

Theo báo cáo, Apple đã bổ sung cơ chế phòng vệ trong phiên bản macOS 26.4, nhằm ngăn các lệnh được đánh dấu là có khả năng độc hại được dán vào Terminal của macOS, qua đó giảm tỷ lệ thành công của các cuộc tấn công lừa đảo xã hội kiểu ClickFix.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.

Bài viết liên quan

Ví Sigma của trader lại bị rút cạn; ví thứ hai đã bị làm trống trong vòng 6 tháng, $200K bị mất bởi một người dùng khác

Sự cố bảo mậtRủi ro sàn giao dịch

Theo Odaily, trader A (@missoralways) cho biết hai ví của họ kết nối với Sigma đã bị rút cạn gần đây, đánh dấu vụ lộ ví thứ hai trong vòng sáu tháng. Trader này cho biết trước đó họ từng lưu trữ khối tài sản bảy số trong Sigma mà không gặp vấn đề về bảo mật, nhưng cả hai lần rút cạn đều xảy ra khi số dư ví giảm xuống dưới 10.000 USD. Ngoài ra, một người dùng khác đã mất khoảng 200.000 USD tài sản trong bối cảnh tương tự. Nhóm Sigma đã bắt đầu điều tra các sự cố.

GateNews2giờ trước

Arkham Intelligence Tiết lộ các tài khoản lừa đảo đầu tư chiếm 49% các vụ tội phạm crypto, không phải tấn công, vào ngày 11 tháng 5

Biện pháp thực thiSự cố bảo mật

Theo Arkham Intelligence, vào ngày 11/5, nền tảng phân tích blockchain đã công bố một báo cáo cho thấy lừa đảo đầu tư chiếm 49% tổng thiệt hại do tội phạm tiền mã hóa trong năm 2025. Dẫn số liệu từ Trung tâm Khiếu nại Tội phạm Internet của FBI, báo cáo cho biết thiệt hại do tội phạm liên quan đến crypto tại Hoa Kỳ đã vượt 11 tỷ USD trong năm 2025. Báo cáo cũng nêu rằng tội phạm tài sản số hiện diễn ra dưới nhiều hình thức như lừa đảo đầu tư, rửa tiền, mã độc tống tiền, né tránh trừng phạt và tài

GateNews4giờ trước

SlowMist Phát hiện Tiện ích mở rộng Chrome MV3 độc hại nhắm mục tiêu người dùng ví TRON vào ngày 11 tháng 5

Sự cố bảo mật

Theo hệ thống giám sát an ninh MistEye của SlowMist, một tiện ích mở rộng Chrome MV3 độc hại đang nhắm mục tiêu người dùng ví TRON bằng các cuộc tấn công phishing nhằm đánh cắp cụm seed phrase, khóa riêng, tệp keystore và mật khẩu. Tiện ích này sử dụng kỹ thuật làm rối bằng Unicode và giả mạo thương hiệu để ngụy trang như một plugin chính thức, sau đó tải một trang popup iframe từ xa khi cài đặt để lừa người dùng nhập thông tin nhạy cảm, thông tin này được gửi đi qua Telegram Bot. Hạ tầng độc hạ

GateNews5giờ trước

Proxy Kho bạc Workspace của Ink Finance trên Polygon bị tấn công, thiệt hại 140.000 USD

Sự cố bảo mật

Theo ChainCatcher, Proxy Kho bạc Khu vực làm việc (Workspace Treasury Proxy) của Ink Finance trên Polygon đã bị tấn công cách đây vài phút, dẫn đến thiệt hại xấp xỉ 140.000 USD.

GateNews6giờ trước

Kẻ tấn công TrustedVolumes chuyển $278K trong số tiền bị đánh cắp vào ngày 11 tháng 5

Sự cố bảo mậtDữ liệu trên chuỗi

Theo giám sát của PeckShield, kẻ tấn công TrustedVolumes đã chuyển và rửa 278.000 USD tiền bị đánh cắp tính đến ngày 11 tháng 5. Kẻ tấn công đã gửi 10,2 ETH (23.600 USD) vào Tornado Cash, chuyển 110 ETH (250.000 USD) sang Bitcoin qua THORChain và đã cố gắng gửi 0,5 ETH vào Railgun trước khi rút. TrustedVolumes đã chịu tổn thất tổng cộng khoảng 6,7 triệu USD trong vụ tấn công ngày 7 tháng 5.

GateNews8giờ trước

Cảnh sát NSW tịch thu 52,3 Bitcoin trị giá 5,7 triệu AUD trong vụ triệt phá darknet bị cáo buộc vào ngày 4 tháng 5

Biện pháp thực thiSự cố bảo mậtbitcoin news

Theo Cảnh sát NSW, lực lượng chức năng đã thu giữ 52,3 Bitcoin trị giá khoảng 5,7 triệu AUD trong một cuộc đột kích ở Ingleburn, khu vực tây nam của Sydney, vào ngày 4 tháng 5, trong đó cảnh sát mô tả đây là một trong các vụ thu giữ tiền mã hóa lớn nhất ở Australia. Hoạt động này là một phần của Strike Force Andalusia, cuộc điều tra được khởi động vào tháng 9 năm 2024 liên quan đến hoạt động được cho là từ thị trường darknet, gắn với việc bán các loại ma túy bị cấm. Sau cuộc điều tra, hai người

GateNews8giờ trước
Bình luận
0/400
Không có bình luận