Một chiến dịch quảng cáo độc hại đang chạy trên Google Search, nhắm vào người dùng tìm kiếm Homebrew - công cụ cài đặt phần mềm phổ biến trên macOS. Ai nhấp vào kết quả quảng cáo xuất hiện ngay đầu trang sẽ bị dẫn đến một trang giả mạo, tải virus về máy và âm thầm đánh cắp mật khẩu, dữ liệu trình duyệt và ví tiền mã hóa.
Kết quả tìm kiếm Google cho từ khóa "Homebrew", quảng cáo độc hại xuất hiện ngay trên kết quả chính thức
Nhà nghiên cứu bảo mật Bradley Duncan thuộc tổ chức SANS Internet Storm Center phát hiện chiến dịch này vào ngày 30/4/2026. Điểm khiến vụ này đặc biệt nguy hiểm: trang giả mạo không dùng địa chỉ web lạ hay tên miền gần giống như những chiến dịch trước. Trang được đặt trực tiếp trên Google Sites - dịch vụ tạo website miễn phí của chính Google - nghĩa là địa chỉ hiển thị trên trình duyệt bắt đầu bằng sites.google.com. Nhìn vào đó, không có lý do gì để nghi ngờ.
Tại sao lại khó phát hiện đến vậy?
Homebrew là công cụ cài phần mềm qua dòng lệnh, được dùng rộng rãi trong giới lập trình viên và người dùng Mac có kỹ thuật. Điểm đặc thù của Homebrew là quy trình cài đặt chính thức vốn đã yêu cầu mở cửa sổ Terminal (giao diện dòng lệnh của macOS), dán một đoạn lệnh vào và nhấn Enter. Kẻ tấn công khai thác đúng thói quen này: trang giả mạo trông hệt như trang thật, chỉ khác ở chỗ đoạn lệnh được thay bằng mã độc đã cố tình che giấu nội dung.
Người dùng dán lệnh vào Terminal, nhập mật khẩu khi được yêu cầu - đây là điều bình thường khi cài phần mềm - rồi nhận về thông báo lỗi giả rằng "máy không hỗ trợ ứng dụng này". Trong khi đó, virus đã chạy xong nhiệm vụ ở phía sau.
Quảng cáo được mua thông qua một tài khoản Google Ads hợp lệ, nhiều khả năng đã bị kẻ xấu chiếm đoạt từ trước.
Giao diện trang giả mạo Homebrew trên Google Sites, trông giống hệt trang chính thức brew.sh
Virus này lấy được những gì?
Virus được phát tán trong chiến dịch này có tên MacSync Stealer - xuất hiện từ tháng 4/2025 và liên tục được nâng cấp. Theo các nhà nghiên cứu tại Jamf Threat Labs, Sophos và CIS Security, nhóm đứng sau MacSync hiện cho thuê công cụ này để bất kỳ ai cũng có thể trả tiền sử dụng, giống như một dịch vụ kinh doanh.
Sau khi xâm nhập vào máy, MacSync âm thầm thu thập nhiều loại thông tin khác nhau. Virus quét toàn bộ mật khẩu và thông tin đăng nhập đã lưu trong trình duyệt, lịch sử và cookie duyệt web, tin nhắn Telegram, ghi chú trong ứng dụng Notes của macOS. Toàn bộ dữ liệu thu thập được đóng gói lại và gửi về máy chủ của kẻ tấn công mà người dùng không hề hay biết.
Với người làm việc trong môi trường doanh nghiệp, MacSync còn nhắm đến các file chứa thông tin đăng nhập dịch vụ đám mây như Amazon Web Services hay Google Cloud - loại thông tin mà nếu lọt ra ngoài có thể ảnh hưởng đến toàn bộ hệ thống của một công ty, không chỉ riêng cá nhân người dùng.
MacSync Stealer thu thập và gửi dữ liệu về máy chủ của kẻ tấn công
Phần đáng sợ nhất: gỡ virus rồi vẫn chưa an toàn
MacSync có một khả năng đặc biệt nguy hiểm với người dùng ví tiền mã hóa phần cứng như Ledger hay Trezor. Đây là loại thiết bị USB chuyên dụng để lưu trữ tiền mã hóa, và để sử dụng cần cài một ứng dụng đi kèm trên máy tính.
MacSync thay thế ứng dụng đó bằng một phiên bản giả mạo do kẻ tấn công tạo ra. Phiên bản giả trông và hoạt động y hệt thật. Nhưng mỗi lần người dùng nhập "cụm từ khôi phục" - chuỗi 12 đến 24 từ tiếng Anh dùng để phục hồi ví nếu mất thiết bị, tương đương với chìa khóa master của toàn bộ tài sản trong ví - ứng dụng giả mạo âm thầm ghi lại và gửi đi.
Ai có được cụm từ này có thể rút sạch toàn bộ tiền trong ví từ bất kỳ đâu trên thế giới, không cần đến thiết bị vật lý.
Điều tệ hơn là cửa hậu này không biến mất dù người dùng đã phát hiện và xóa MacSync khỏi máy. Chừng nào ứng dụng ví chưa được gỡ ra và cài lại sạch từ đầu từ trang chính thức, mối nguy vẫn còn đó.
Không phải lần đầu tiên
Homebrew đã từng bị lợi dụng tương tự hồi tháng 1/2025, khi một chiến dịch khác dùng trang web giả mạo với địa chỉ gần giống để phát tán loại virus macOS khác. Đầu năm 2026, công ty bảo mật Bitdefender ghi nhận hơn 200 quảng cáo độc hại trên Google Search, mạo danh hàng chục phần mềm Mac quen thuộc như LibreOffice, OBS Studio, Final Cut Pro và Homebrew. Toàn bộ các quảng cáo này được chạy qua hơn 35 tài khoản Google Ads bị chiếm đoạt từ các doanh nghiệp và cá nhân hoàn toàn không liên quan.
Bogdan Botezatu, giám đốc cấp cao bộ phận nghiên cứu mối đe dọa tại Bitdefender, nhận xét rằng người dùng Mac thường được cho là an toàn hơn theo mặc định, nhưng hình thức lừa đảo qua quảng cáo vẫn là phương thức tấn công rất hiệu quả.
Cách phòng tránh
Nguyên tắc đơn giản nhất khi tìm kiếm phần mềm: bỏ qua toàn bộ kết quả có nhãn "Được tài trợ" hoặc "Quảng cáo" ở trên cùng, cuộn xuống phần kết quả thường phía dưới. Tốt hơn nữa là gõ thẳng địa chỉ trang chính thức vào thanh trình duyệt thay vì tìm kiếm. Với Homebrew, địa chỉ chính xác là brew.sh.
Dùng tiện ích chặn quảng cáo trên trình duyệt như uBlock Origin cũng là biện pháp hiệu quả, vì phần lớn quảng cáo độc hại sẽ bị lọc trước khi xuất hiện.
Với lệnh Terminal, không chạy bất kỳ lệnh nào có nội dung khó đọc, đặc biệt là các chuỗi ký tự dài không có nghĩa rõ ràng. Phần mềm hợp lệ không có lý do gì để che giấu nội dung lệnh cài đặt.
Với người dùng ví Ledger hoặc Trezor: nếu nghi ngờ máy đã từng bị nhiễm virus, gỡ ứng dụng ví ra và cài lại từ trang chính thức là bước bắt buộc - không phụ thuộc vào việc phần mềm diệt virus có báo sạch hay không.
Thế Duyệt
