Không chỉ iOS và Mac, mã độc WireLurker còn ảnh hưởng lên cả Windows

Các nhà nghiên cứu tại AlienVault đã tìm ra một phiên bản WireLurker sử dụng Windows để phát tán. Jaime Blasco của AlienVault Labs đã phát hiện ra biến thể này và đã thông báo cho công tyPalo Alto Networks.

Các nghiên cứu trước đó cho rằng WireLurker sử dụng ứng dụng OS X lây nhiễm các thiết bị iOS và chưa có thông tin về phiên bản Windows của loại malware này. Biến thể WireLurker trên Windows được phát tán thông qua Baidu YunPan (một ứng dụng lưu trữ đám mây cuar Baidu) bởi người dùng có tên “ekangwen206″.

Tổng cộng 247 tệp tin được tải lên bởi người dùng này chứa 180 file .exe và 67 ứngdụng OS X vào khoảng 12 tháng 10, một tháng trước phát hiện Mayaidi App Store lây nhiễm. Hầu hết các tệp tin này là phiên bản lậu ứng dụng nổi tiếng như Facebook, Whatsapp, Instagram, Twitter, iBooks, iMovies, Calaulator, Keynote, Flappy Bird… Những ứng dụng này được tải về 65,213 lần với 97,7% trên Windows.

Cách WireLurker phát tán

Sau khi nạn nhân tải về và chạy file trên Windows, nó sẽ yêu cầu tải iTune từ trang chủ Apple China. Nếu đã cài đặt, giao diện Itune sẽ hiện lên thông báo “waiting for iOS device connection” . Khi nạn nhân kết nối thiết bị và cài đặt phiên bản lậu ứng dụng này, malware cũng sẽ được cài đặt theo (chỉ trên thiết bị đã jaibroken). Phiên bản này khá giống với phiên bản trên Mac OS X, nó gửi dữ liệu đánh cắp đến một máy chủ command and control. Palo Alto Networks đã công bố bản cập nhật dành cho trình duyệt, các nhà cung cấp internet, các nhà cung cấp bảo mật để phát hiện WireLurker.

Bạn cũng có thể sử dụng mã nguồn mở trên Github để phát hiện malware này.

SecurityWeek