Hơn 17.000 máy Mac nhiễm Botnet

Các nhà nghiên cứu của công ty chống virus Dr.Web tại Nga đã phát hiện một mạng lưới zombie mới nhắm mục tiêu vào các máy tính Apple chạy Mac OS X. Đến nay, trên toàn cầu đã có khoảng 17.000 máy Mac bị tin tặc xâm nhập để cài backdoor.

Theo một cuộc khảo sát của các nhà nghiên cứu Dr.Web, hơn 17.000 máy tính Mac trên toàn cầu trở thành một phần của botnet Mac.BackDoor.iWorm. Botnet này tạo ra một backdoor trên máy tính chạy OS X. Trong đó, gần một phần tư iWorm botnet là đặt tại Hoa Kỳ.

Điều thú vị nhất về botnet này là nó sử dụng phương pháp lây lan đặc biệt thông qua một dịch vụ tìm kiếm của Reddit, đăng bài viết vào một danh sách subreddit của máy chủ Minecraft nhằm thu thập các địa chỉ IP mạng. Những người dùng đăng dữ liệu subreddit đó đã gỡ chúng xuống mặc dù những kẻ sáng tạo phần mềm độc hại có khả năng tạo ra một danh sách máy chủ. Các chuyên gia cho biết: “Điều đáng nói là để có được một danh sách địa chỉ máy chủ kiểm soát, bot sử dụng dịch vụ tìm kiếm ở reddit.com như một truy vấn tìm kiếm và xác định giá trị HEX của 8 byte MD5 đầu tiên của ngày hiện tại. Việc tìm kiếm reddit.com trả về một trang web chứa danh sách các botnet C&C server và cổng ra”.

Khi một máy Mac bị nhiễm, các phần mềm thiết lập kết nối với máy chủ C&C. Backdoor trong hệ thống của người sử dụng được sử dụng để thực hiện một loạt các nhiệm vụ, từ đánh cắp thông tin nhạy cảm đến lây lan các phần mềm độc hại khác. Nó cũng có thể thay đổi cấu hình hoặc đặt một máy Mac ở chế độ ngủ. Tin tặc sử dụng C++ và Lua để phát triển phần mềm độc hại này. Các backdoor sử dụng các hình thức mã hóa, cài đặt phần mềm vào mục Library/Application Support/JavaW rồi tạo ra một file p-list để các backdoor tự động chạy.

Các Mac.BackDoor.iWorm còn có khả năng gửi thư rác, làm quá tải các trang web, hoặc khai thác Bitcoins. Hầu hết các máy bị nhiễm được đặt tại Hoa Kỳ, sau đó đến Canada với 1.235 địa chỉ, tiếp theo là Anh với 1.227 địa chỉ và số còn lại ở châu Âu, châu Úc, Liên bang Nga, Brazil và Mexico.

Theo THN