Một chiến dịch quảng cáo độc hại mới đang nhắm vào người dùng máy Mac thông qua chính nền tảng quảng cáo của Google. Theo phát hiện của nhà nghiên cứu bảo mật Bradley Duncan thuộc SANS Internet Storm Center vào ngày 30/4/2026, các tin tặc đã lợi dụng Google Ads để hiển thị quảng cáo giả mạo cho từ khóa "Homebrew" – công cụ cài đặt phần mềm phổ biến trên macOS.
Chi tiết chiến dịch lừa đảo
Khi người dùng tìm kiếm Homebrew trên Google, kết quả quảng cáo độc hại xuất hiện ngay đầu trang, dẫn đến một trang web giả mạo được xây dựng trên Google Sites – dịch vụ tạo website miễn phí của Google. Điều này khiến địa chỉ trang bắt đầu bằng sites.google.com, khiến nạn nhân khó nghi ngờ. Trang giả mạo trông giống hệt trang chính thức brew.sh, nhưng đoạn lệnh cài đặt đã bị thay thế bằng mã độc.
Cách thức hoạt động
Homebrew yêu cầu người dùng mở Terminal (giao diện dòng lệnh) và dán một đoạn lệnh. Kẻ tấn công khai thác thói quen này: trang giả mạo hiển thị lệnh độc hại nhưng cố tình che giấu nội dung. Sau khi người dùng dán lệnh, nhập mật khẩu (hành động bình thường khi cài phần mềm), họ nhận được thông báo lỗi giả "máy không hỗ trợ ứng dụng này", trong khi virus đã chạy ngầm.
Virus MacSync Stealer
Phần mềm độc hại được phát tán có tên MacSync Stealer, xuất hiện từ tháng 4/2025 và liên tục được nâng cấp. Theo các chuyên gia tại Jamf Threat Labs, Sophos và CIS Security, nhóm đứng sau MacSync cho thuê công cụ này như một dịch vụ (Malware-as-a-Service).
Dữ liệu bị đánh cắp
Sau khi xâm nhập, MacSync âm thầm thu thập:
- Mật khẩu và thông tin đăng nhập lưu trong trình duyệt
- Lịch sử duyệt web và cookie
- Tin nhắn Telegram
- Ghi chú trong ứng dụng Notes của macOS
- Thông tin đăng nhập dịch vụ đám mây (AWS, Google Cloud) – đặc biệt nguy hiểm cho doanh nghiệp
Toàn bộ dữ liệu được đóng gói và gửi về máy chủ của kẻ tấn công mà người dùng không hề hay biết.
Mối đe dọa đối với ví tiền mã hóa
MacSync có khả năng thay thế ứng dụng quản lý ví phần cứng (Ledger, Trezor) bằng phiên bản giả mạo. Khi người dùng nhập "cụm từ khôi phục" (seed phrase) – chìa khóa master của ví – ứng dụng giả sẽ ghi lại và gửi đi. Kẻ tấn công có thể rút sạch tiền từ bất kỳ đâu. Đáng lo ngại, việc xóa MacSync không loại bỏ được ứng dụng ví giả; người dùng phải gỡ và cài lại ứng dụng từ trang chính thức.
Lịch sử các vụ tấn công tương tự
Đây không phải lần đầu Homebrew bị lợi dụng. Tháng 1/2025, một chiến dịch khác dùng tên miền gần giống để phát tán virus. Đầu năm 2026, Bitdefender ghi nhận hơn 200 quảng cáo độc hại trên Google Search, mạo danh các phần mềm Mac như LibreOffice, OBS Studio, Final Cut Pro và Homebrew, chạy qua hơn 35 tài khoản Google Ads bị chiếm đoạt.
Bogdan Botezatu, giám đốc cấp cao tại Bitdefender, nhận xét: "Người dùng Mac thường tin rằng họ an toàn hơn, nhưng lừa đảo qua quảng cáo vẫn rất hiệu quả."
Cách phòng tránh
- Bỏ qua quảng cáo: Khi tìm kiếm phần mềm, không nhấp vào kết quả có nhãn "Được tài trợ" hoặc "Quảng cáo". Cuộn xuống kết quả thường phía dưới.
- Gõ trực tiếp địa chỉ: Với Homebrew, địa chỉ chính xác là brew.sh.
- Dùng tiện ích chặn quảng cáo: uBlock Origin có thể lọc hầu hết quảng cáo độc hại.
- Kiểm tra lệnh Terminal: Không chạy lệnh có nội dung khó đọc hoặc chuỗi ký tự dài vô nghĩa.
- Cài lại ứng dụng ví: Nếu nghi ngờ máy từng bị nhiễm, gỡ ứng dụng ví và cài lại từ trang chính thức, bất kể phần mềm diệt virus có báo sạch hay không.
