17/09/2018, 19:53

Nhóm gián điệp cài phần mềm độc hại từ Windows vào máy Mac

Đến nay, chúng ta đã thấy một loạt các phần mềm độc hại nhắm mục tiêu vào các hệ điều hành Windows khác nhau và không chỉ Mac. Nhờ Apple đã có các biện pháp an ninh vì thế thiết bị của chúng ta vẫn được bảo vệ. Nhưng với thời gian, tội phạm mạng đã phát hiện ra nhiều phần mềm độc hại mới để tìm ...

​​ Nhóm gián điệp cài phần mềm độc hại từ Windows vào máy Mac

Đến nay, chúng ta đã thấy một loạt các phần mềm độc hại nhắm mục tiêu vào các hệ điều hành Windows khác nhau và không chỉ Mac. Nhờ Apple đã có các biện pháp an ninh vì thế thiết bị của chúng ta vẫn được bảo vệ. Nhưng với thời gian, tội phạm mạng đã phát hiện ra nhiều phần mềm độc hại mới để tìm cách khai thác Mac.

Nhóm tội phạm đằng sau backdoor trên Mac

Các nhà nghiên cứu đã phát hiện ra một nhóm tội phạm mạng gần đây đã bắt đầu sử dụng một biến thể mới của chương trình backdoor XSLCmd nhằm vào các hệ thống Mac OS X. Phiên bản Mac này chứa backdoor có thể cài đặt trên các phiên bản Windows ít nhất là từ năm 2009.

Theo các nhà nghiên cứu của FireEye, nhóm được mệnh danh là Gref nổi tiếng với hoạt động gián điệp không gian mạng, tấn công chống lại các cơ sở công nghiệp quốc phòng Mỹ (DIB), các công ty sản xuất thiết bị điện tử và các ngành kỹ thuật trên toàn thế giới, các tổ chức… Các nhà nghiên cứu cho biết: “Chúng tôi đã theo dõi nhóm này từ khá lâu. Chúng xu hướng sử dụng một loạt các tài liệu tham khảo của Google. Gref hoạt động ít nhất là khoảng từ năm 2009, nhưng chúng tôi tin rằng chúng đã hoạt động từ trước đó.”

Mã độc Windows nhằm vào MAC OS X

Nhóm GREF sử dụng các chương trình độc hại có khả năng mở khóa, lấy cắp danh sách và chuyển các tập tin, cài đặt phần mềm độc hại trên máy tính mà nó lây nhiễm. Phiên bản Mac có backdoor cũng có thể ghi lại tổ hợp phím cũng như các ảnh chụp màn hình. Nhóm này đã sử dụng cùng backdoor XSLCmd để nhắm mục tiêu vào người dùng Windows lâu năm.

Backdoor đã ẩn mình thế nào

Sau khi cài đặt trên một máy tính Macintosh, phần mềm độc hại tự tạo ra các bản sao bằng cách vào: Library / Logs / clipboardd và $HOME/ Library/ LaunchAgents/ clipboard. Các phần mềm độc hại cũng tạo ra một tập tin com.apple.service.clipboardd.plist để đảm bảo chạy ổn định hơn sau khi hệ thống khởi động lại.

Mã độc này ẩn chứa trong phần mềm độc hại kiểm tra các phiên bản OS X của các thiết bị, trong phiên bản 10.8 (Mountain Lion) và các phiên bản cũ hơn. Phiên bản 10.9, phiên bản hiện tại của Mac được cho là an toàn với lại phần mềm độc hại này.

Theo THN

0