Skip to content

NimDoor: Cuộc tấn công công nghệ cao nhằm vào macOS trong lĩnh vực tiền điện tử

NimDoor là một mã độc macOS được sử dụng trong các chiến dịch nhắm vào lĩnh vực Web3 và tiền điện tử. Dù đã được công bố trước đó, đây vẫn là ví dụ điển hình cho thấy các nhóm tấn công không ngừng nâng cấp công cụ và kỹ thuật để xâm nhập mục tiêu.

Điểm đáng chú ý là NimDoor sử dụng nhiều phương pháp giúp ẩn mình, duy trì hoạt động và đánh cắp dữ liệu quan trọng trên máy Mac. Điều này cho thấy các cuộc tấn công vào hệ sinh thái Apple ngày càng tinh vi hơn, đồng thời nhắc nhở rằng việc sử dụng macOS không đồng nghĩa với việc được bảo vệ hoàn toàn trước các mối đe dọa có chủ đích.

Cách thức tấn công của NimDoor

Truy cập ban đầu

Cuộc tấn công bắt đầu bằng một chiến dịch lừa đảo có chủ đích. Kẻ tấn công giả mạo một người quen trên Telegram, mời nạn nhân đặt lịch họp qua Calendly, rồi dẫn họ đến một trang cập nhật Zoom giả mạo trước khi tham gia cuộc gọi.

Sau khi nạn nhân tải file

Nạn nhân được chuyển đến một trang web giả mạo bản cập nhật Zoom SDK và tải về tệp AppleScript độc hại có tên zoom_sdk_support.scpt. Khi chạy tệp này, máy tính sẽ kết nối đến máy chủ của kẻ tấn công, tải thêm mã độc và bắt đầu quá trình xâm nhập.

Sau khi AppleScript được thực thi, mã độc sẽ tải thêm các thành phần khác, âm thầm chèn vào tiến trình đang chạy và thiết lập cơ chế để tiếp tục hoạt động ngay cả khi máy tính được khởi động lại.

Tiếp theo, mã độc liên kết với máy chủ điều khiển (C2), cho phép kẻ tấn công gửi lệnh, cài thêm mã độc và duy trì quyền truy cập vào thiết bị.

Đối với người dùng tiền điện tử, mục tiêu chính của NimDoor là đánh cắp dữ liệu nhạy cảm trên máy tính, bao gồm dữ liệu trình duyệt, thông tin trong Apple Keychain, lịch sử lệnh Terminal, dữ liệu ứng dụng Telegram và các thông tin khác. Những dữ liệu này có thể bị lợi dụng để chiếm tài khoản, đánh cắp thông tin đăng nhập hoặc tiếp tục xâm nhập sâu hơn vào hệ thống của nạn nhân.

Mục tiêu chính của NimDoor

Điểm đáng chú ý nhất của chiến dịch NimDoor là kẻ tấn công không khai thác lỗ hổng của macOS ngay từ đầu, mà lợi dụng sự tin tưởng của người dùng.

Chúng giả mạo người quen trên Telegram, mời nạn nhân đặt lịch họp qua Calendly, rồi thuyết phục họ cài đặt một bản cập nhật Zoom SDK giả mạo. Chỉ khi nạn nhân tự chạy tệp này thì quá trình lây nhiễm mới bắt đầu.

Đối với người dùng tiền điện tử, bài học quan trọng là chỉ một phút mất cảnh giác cũng có thể dẫn đến hậu quả nghiêm trọng. Nếu không tách biệt thiết bị dùng để làm việc, duyệt web và ký giao dịch, một máy tính bị nhiễm mã độc có thể khiến cả tài khoản, tài sản và hệ thống của bạn gặp rủi ro.

Cách phòng tránh NimDoor

Dù NimDoor sử dụng nhiều kỹ thuật tinh vi, điểm khởi đầu của cuộc tấn công vẫn là lừa đảo người dùng, chứ không phải khai thác lỗ hổng của macOS.

Để giảm thiểu rủi ro, bạn nên:

  • Xác minh các lời mời họp hoặc yêu cầu cập nhật phần mềm bất thường qua một kênh liên lạc khác.
  • Không cài đặt phần mềm hoặc bản cập nhật được gửi qua Telegram, email hay tin nhắn trực tiếp.
  • Chỉ tải Zoom, trình duyệt, ví và các bản cập nhật hệ điều hành từ nguồn chính thức hoặc tính năng cập nhật tích hợp.
  • Hạn chế sử dụng tài khoản quản trị (Administrator) cho các công việc hằng ngày.
  • Không lưu cụm từ khôi phục (seed phrase), khóa riêng tư hoặc thông tin quan trọng trên máy tính dùng để làm việc.
  • Tách riêng thiết bị dùng để ký giao dịch hoặc lưu trữ tài sản số với thiết bị dùng để làm việc và duyệt web hằng ngày.
Sử dụng ví cứng để lưu trữ khóa riêng tư tách biệt khỏi máy tính hằng ngày là cách đơn giản nhưng hiệu quả để giảm rủi ro khi thiết bị bị nhiễm mã độc
Sử dụng ví cứng để lưu trữ khóa riêng tư tách biệt khỏi máy tính hằng ngày là cách đơn giản nhưng hiệu quả để giảm rủi ro khi thiết bị bị nhiễm mã độc

Kết luận

NimDoor cho thấy các cuộc tấn công nhắm vào người dùng tiền điện tử ngày càng tinh vi. Tuy nhiên, yếu tố quyết định thành công của chiến dịch không phải là lỗ hổng trên macOS, mà là việc lợi dụng sự tin tưởng của người dùng.

Vụ việc này một lần nữa nhấn mạnh rằng thói quen bảo mật tốt vẫn là tuyến phòng thủ quan trọng nhất. Luôn xác minh các yêu cầu bất thường, chỉ cài đặt phần mềm từ nguồn chính thức, tách biệt thiết bị chứa tài sản số khỏi máy tính làm việc và sử dụng ví cứng để bảo vệ khóa riêng tư sẽ giúp giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công tương tự.

Tăng cường bảo mật tài sản số

Nếu bạn đang tìm cách bảo vệ tài sản số tốt hơn, BitcoinVN Shop cung cấp nhiều dòng ví cứng từ các thương hiệu uy tín như Trezor, Ledger, Coinkite, Blockstream và Keystone.

Ví cứng giúp lưu trữ khóa riêng tư tách biệt khỏi máy tính sử dụng hằng ngày. Ngay cả khi máy tính bị nhiễm mã độc, khóa riêng tư vẫn được giữ an toàn trong thiết bị, giúp giảm đáng kể nguy cơ mất tài sản.

Để bảo vệ cụm từ khôi phục (recovery seed) lâu dài, BitcoinVN Shop cũng cung cấp các thẻ lưu trữ Seedphrase bằng thép, giúp chống cháy, chống nước và hạn chế hư hỏng do các tác động vật lý.

Tất cả sản phẩm đều được giao trực tiếp từ kho tại Việt Nam, giúp rút ngắn thời gian chờ và không phải lo các thủ tục hải quan khi đặt hàng từ nước ngoài.

Nếu ưu tiên quyền riêng tư, bạn cũng có thể đến nhận hàng trực tiếp tại văn phòng BitcoinVN ở TP. Hồ Chí Minh hoặc showroom tại Đà Nẵng để hạn chế việc cung cấp thông tin cá nhân khi mua hàng.

Nếu mới bắt đầu tự lưu ký tài sản số hoặc muốn đánh giá lại mức độ an toàn hiện tại, đội ngũ BitcoinVN Consulting có thể hỗ trợ tư vấn các giải pháp và quy trình bảo mật phù hợp để giảm thiểu rủi ro ngay từ đầu.