Lịch sử malware trên Apple Mac OS

Người dùng Mac rất tin tưởng về một hệ điều hành của Apple không bao giờ nhiễm malware. Liệu điều đó có đúng? Hãy cùng tìm hiểu lịch sử những dòng malware trên Mac.

Người dùng Microsoft Windows bị ảnh hưởng nặng nề nhất bởi malware, trojan hay virus. Trái ngược với điều đó người dùng Mac luôn tự hào được trang bị một hệ điều hành miễn nhiễm bất kì malware nào. Tuy nhiên, các nhà nghiên cứu bảo mật sẽ kể cho chúng ta một câu chuyện khác. Hãy cùng nhìn lại lịch sử malware của Mac OS.

2004: Renepo – shell script worm:

Renepo được thiết kế đặc biệt dành cho OS X. Nó gây chú ý bởi là malware đầu tiên trên Mac OS và không được coi là một malware nguy hiểm

Về cách hoạt động, Renepo là một shell script worm, không thể phát tán thông qua mạng mà đòi hỏi mật khẩu quản trị viên hoặc một vài truy cập vật lí mới có thể cài đặt được. Sau khi cài đặt, Renepo sẽ vô hiệu hóa bảo mật Mac OS X bằng cách tắt tường lửa và phần mềm bảo mật. Nó có thể cài đặt một phần mềm bẻ khóa mật khẩu và các chức năng khác nhằm đoạt quyền truy cập hệ thống. Mã thực thi được ẩn dưới file nhạc .mp3.

2006: Leap – virus đầu tiên trên Mac OS X phát tán qua iChat

Leap được phát hiện vào đầu năm 2006. Nó không khai thác lỗ hổng bảo mật nào mà chỉ là một bản chứng minh PoC.

Loại Trojan Horse này không phức tạp. Nười dùng phải thực hiện khá nhiều bước trước khi thực sự bị lây nhiễm. Tin tặc sử dụng kĩ thuật social engineering thông qua danh sách bạn bẻ iChat nhằm phát tán file độc hại. Lây nhiễm thành công khi người dùng tải về và mở file thông qua iChat.

Leap chỉ hoạt động trên OS X Tiger.

2007:  BadBunny worm

BadBunny worm được phát hiện bởi các chuyên gia tại phòng thí nghiệm Sophos. Đây là một macro worm trên phần mềm đa nền tảng OpenOffice.

Sophos tìm ra script Ruby độc hại do BadBunny tạo ra và hiển thị hình ảnh khiêu dâm. Nếu người dùng cố gắng truy cập vào nội dung đó, malware sẽ chuyển hướng máy chủ DNS đến trang web độc hại khác.

BadBunny được phát triển trên cả nền tảng Mac và Windows.

2008: MacSweeper

MacSweeper cũng được phát hiện bởi các chuyên gia  phòng thí nghiệm Sophos. MacSweeper đe dọa người dùng rằng họ đang gặp một vài lỗ hổng riêng tư nghiêm trọng trên thiết bị và cung cấp phần mềm xử lý sự cố. Malware này được phát tán thông qua mạng quảng cáo của một hãng truyền thông lớn ITV. Chiến dịch quảng cáo độc hại này dùng cho cả MacSweeper trên Apple Mac và Cleanator trên Windows.

2008: Imunizator

Cũng giống MacSweeper, Trojan Imunizator yêu cầu người dùng dọn dẹp hệ thống với file độc hại giả mạo rồi tải phần mềm của chúng về.

2009: Jahlav

Jahlav giả dạng thành “video codec” , một thành phần cần thiết nếu người dùng muốn xem nội dung trên trang web.

Tin tặc tạo ra một trang web độc hại, bất cứ khi nào người dùng truy cập, một thông báo sẽ hiện lên yêu cầu cài đặt “video codec” để có thể xem được video. Người dùng tải về file có dạng .DMG (Disk Image). Sau khi cài đặt, malware sẽ chuyển đường dẫn đến các trang quảng cáo khác nhau.

2009: Phiên bản lậu iWork và Adobe Photoshop CS4

Vào năm 2009, một Mac OS X Trojan mới lây lan thông qua phiên bản lậu iWork’09 và Adobe Photoshop CS4 trên mạng chia sẻ file P2P.

• iWork’09: Malware nằm trong file ZIP được chia sẻ trên PirateBay. Sau khi được giải nén, iWorkServices.pkg sẽ cài đặt OSX/iWorkS-A malware. Tiếp nó nó sẽ tạo ra một vài file và lợi dụng các tiến trình biến máy tính người dùng thành Botnet.
• Adobe Photoshop CS4: chứa biến thể Mac iWorkS Trojan horse. Người dùng bị lây nhiễm sẽ có nguy cơ bị điều khiển từ xa, gửi thư rác, đánh cắp thông tin tài khoản hoặc phát tán malware.

2010: Boonana

Boonana là một Trojan Horse đa nền tảng phát tán thông qua mạng xã hội như Facebook. Người dùng nhận được một đường dẫn độc hại với nội dung: “Is this you in the video?”. Malware được tải về sẽ thay đổi thiết đặt file hệ thống và những cơ chế bảo mật khác khiến tin tặc dễ dàng truy cập máy tính từ xa.

2010: PremierOpinion

Vào năm 2010, Intego cảnh báo người dùng Mac về spyware nằm trong một số app miễn phí và bảo vệ màn hình (screen saver). Những ứng dụng này bắt người dùng thực hiện một vài bài test “nghiên cứu thị trường” và chúng sẽ quét toàn bộ file trong máy tính, ghi lại hoạt động rồi gửi thông tin đến máy chủ từ xa. Malware này đã từng đã tấn công Windows vào năm 2008.

2011: MacDefender

MacDefender đánh dấu một kỉ nguyên mới trong lịch sử Mac malware. Thiết kế giao diện tinh tế khiến nó rất thành công trong việc lừa đảo người dùng. MacDefender giả dạng là một phần mềm diệt virus và người dùng cần nhấn vào đường dẫn độc hại nhằm tải phần mềm về. Mặc khác, phần mềm này yêu cầu người dùng gõ mật khẩu hệ thống để tiếp tục cài đặt.

Tin tặc dễ dàng lấy được mật khẩu truy cập vào thiết bị. MacDefender được phát hiện vào năm 2011 và Apple phải tốn nhiều phiên bản cập nhật OS X để xử lý chúng.

2012: Flashback Malware

Vào năm 2012, Flashback Malware lây nhiễm hơn 600,000 người dùng Mac trên thế giới. Malware phát tán thông qua lỗ hổng Java và biến máy tính thành botnet. Nó giả mạo thành Adobe Flash Installer và yêu cầu người dùng tải phần mềm độc hại.

Trong quá trình cài đặt, Flashback đánh cắp dữ liệu hệ thống và những thông tin nhạy cảm, thậm chí chuyển hướng truy vấn tìm kiếm của người dùng đến những trang độc hại. Apple tung ra một công cụ quét miễn phí để loại bỏ Flashback. Sau đó Oracle cũng vá lỗ hổng này.

2014: Mac.BackDoor.iWorm – OS X Botnet:

Các nhà nghiên cứu Dr. Web đã phát hiện ra hệ thống botnet OS X vào năm 2014 với hơn 17,000 người dùng trên toàn thế giới. Máy tính bị lây nhiễm có thể kết nối với tin tặc thông qua Reddit.com mỗi 5 phút đồng hồ.

2014: Wirelurker

Wirelurker malware tồn tại trong app lậu ảnh hưởng tại Trung Quốc. Malware này có thể di chuyển từ máy tính sang iPhone thông qua dây cáp USB ngay cả khi iPhone không bị jailbreak. Những ứng dụng của hàng bên thứ ba phát tán malware ngay lập tức bị dừng hoạt động và 3 tin tặc đã bị bắt.

Quả thực máy tính Mac không phải là một pháo đài hoàn hảo. Người dùng Mac nên quan tâm đến việc bảo vệ thiết bị với các phần mềm diệt virus hợp lí.