Công ty an ninh mạng Moysle vừa phát hiện một loại mã độc tinh vi mới đang âm thầm hoạt động trên Mac mà người dùng có thể không để ý tới. Với tên gọi JScorerunner, mã độc này lan truyền qua một ứng dụng chuyển đổi file PDF miễn phí mang tên Ripple Effect, được phân phối trên một trang web có domain là Fileripple.com.
Ngay sau khi người dùng tải xuống tệp fileripple.pkg từ trang web, quá trình tấn công sẽ bắt đầu được kích hoạt. Khi người dùng giải nén tệp, một WebView giả mạo hiển thị một công cụ PDF có vẻ hợp pháp sẽ hiện lên để che mắt người dùng và khi đó, mã độc sẽ chạy ngầm. Đáng chú ý, lúc này cơ chế bảo mật tích trong Mac sẽ chặn một package. Lúc này, giai đoạn 2 của mã độc bắt đầu khởi động, một gói unsigned có tên là Safari14.1.2mojaveauto.pkg sẽ chạy và cài đặt phần mềm độc hại “bản chính” là JScorerunner.
Sau khi được cài đặt, mã độc JScorerunner sẽ nhắm vào các profile của Google Chrome trên MacOS. Nó sửa đổi cài đặt công cụ tìm kiếm của trình duyệt để người dùng được chuyển hướng đến công cụ tìm kiếm fake để thu thập thông tin người dùng. Moysle cho biết rằng người dùng thậm chí có thể không biết rằng họ bị nhiễm mã độc bởi nó còn có cơ chế ẩn các logs crash và pop up.
Trong bối cảnh ngày càng nhiều phần mềm đánh cắp thông tin xuất hiện trên nền tảng macOS, như Atomic Stealer và Poseidon, các cuộc tấn công ngày càng phức tạp và tinh vi hơn. Những phần mềm độc hại này không chỉ nhắm vào người dùng cá nhân mà còn nhắm tới các thiết bị trong môi trường doanh nghiệp vốn là nơi chứa nhiều bí mật và dữ liệu nhạy cảm.
Bên cạnh đó, Apple vẫn duy trì những cơ chế như XProtect, hệ thống phát hiện mã độc chạy ngầm trên macOS nhưng các loại malware mới có thể vô hiệu hóa cập nhật của XProtect hoặc lách qua cơ chế kiểm soát này khiến người dùng khó nhận ra nguy cơ.
Các chuyên gia cho rằng việc hình thành ý thức cảnh giác về bảo mật trên Mac là điều cần thiết bởi giờ đây không thể xem macOS là hệ điều hành miễn nhiễm với mã độc. Người dùng nên thận trọng với các file tải về, cảnh giác với hình thức lừa đảo trên mạng và chỉ sử dụng các phần mềm được tải về từ App Store hoặc các nguồn thực sự tin cậy để đảm bảo an toàn.
Tham khảo: Youtube, Youtube, Threatdown, Youtube, Machash
Ngay sau khi người dùng tải xuống tệp fileripple.pkg từ trang web, quá trình tấn công sẽ bắt đầu được kích hoạt. Khi người dùng giải nén tệp, một WebView giả mạo hiển thị một công cụ PDF có vẻ hợp pháp sẽ hiện lên để che mắt người dùng và khi đó, mã độc sẽ chạy ngầm. Đáng chú ý, lúc này cơ chế bảo mật tích trong Mac sẽ chặn một package. Lúc này, giai đoạn 2 của mã độc bắt đầu khởi động, một gói unsigned có tên là Safari14.1.2mojaveauto.pkg sẽ chạy và cài đặt phần mềm độc hại “bản chính” là JScorerunner.
Sau khi được cài đặt, mã độc JScorerunner sẽ nhắm vào các profile của Google Chrome trên MacOS. Nó sửa đổi cài đặt công cụ tìm kiếm của trình duyệt để người dùng được chuyển hướng đến công cụ tìm kiếm fake để thu thập thông tin người dùng. Moysle cho biết rằng người dùng thậm chí có thể không biết rằng họ bị nhiễm mã độc bởi nó còn có cơ chế ẩn các logs crash và pop up.
Trong bối cảnh ngày càng nhiều phần mềm đánh cắp thông tin xuất hiện trên nền tảng macOS, như Atomic Stealer và Poseidon, các cuộc tấn công ngày càng phức tạp và tinh vi hơn. Những phần mềm độc hại này không chỉ nhắm vào người dùng cá nhân mà còn nhắm tới các thiết bị trong môi trường doanh nghiệp vốn là nơi chứa nhiều bí mật và dữ liệu nhạy cảm.
Bên cạnh đó, Apple vẫn duy trì những cơ chế như XProtect, hệ thống phát hiện mã độc chạy ngầm trên macOS nhưng các loại malware mới có thể vô hiệu hóa cập nhật của XProtect hoặc lách qua cơ chế kiểm soát này khiến người dùng khó nhận ra nguy cơ.
Các chuyên gia cho rằng việc hình thành ý thức cảnh giác về bảo mật trên Mac là điều cần thiết bởi giờ đây không thể xem macOS là hệ điều hành miễn nhiễm với mã độc. Người dùng nên thận trọng với các file tải về, cảnh giác với hình thức lừa đảo trên mạng và chỉ sử dụng các phần mềm được tải về từ App Store hoặc các nguồn thực sự tin cậy để đảm bảo an toàn.
Tham khảo: Youtube, Youtube, Threatdown, Youtube, Machash
