Phần mềm độc hại trên Mac giả dạng tài liệu PDF

Diễn đàn - Ngày đăng : 07:28, 04/11/2015

Phần mềm độc hại này được phát hiện bởi công ty Sophos có trụ sở tại Anh và nhà cung cấp phần mềm chống virus F-Secure tại Phần Lan. Nó sử dụng một kỹ thuật được thực hiện bởi những kẻ tấn công Windows. “Phần mềm độc hại này có thể cố gắng sao chép kỹ thuật được thực hiện bởi phần mềm độc hại Windows, mà mở ra một tập tin PDF có chứa ‘pdf.exe’ và một biểu tượng PDF đi kèm”, F-Secure cho biết.

Các công ty an ninh đã cảnh báo người dùng Mac về một con ngựa Trojan mới giả mạo như là một tài liệu PDF.

Phần mềm độc hại này được phát hiện bởi công ty Sophos có trụ sở tại Anh và nhà cung cấp phần mềm chống virus F-Secure tại Phần Lan. Nó sử dụng một kỹ thuật được thực hiện bởi những kẻ tấn công Windows.“Phần mềm độc hại này có thể cố gắng sao chép kỹ thuật được thực hiện bởi phần mềm độc hại Windows, mà mở ra một tập tin PDF có chứa ‘pdf.exe’ và một biểu tượng PDF đi kèm”, F-Secure cho biết.
Cách thực hiện này dựa vào một thứ được gọi là cú lừa "double extension" (mở rộng gấp đôi): thêm các ký tự ".pdf" vào tên tập tin để che giấu một tập tin thực thi.

Phần mềm độc hại trên Mac sử dụng một quá trình hai bước, bao gồm một tiện ích Trojan "dropper" (nhỏ giọt) để tải về một yếu tố thứ hai gọi là Trojan "backdoor" (cửa sau). Sau đó, Trojan "backdoor" kết nối đến một máy chủ điều khiển từ xa được kiểm soát bởi những kẻ tấn công, sử dụng kênh thông tin liên lạc để gửi thông tin lượm lặt được từ máy Mac bị nhiễm độc và nhận hướng dẫn bổ sung từ các tin tặc.

Bởi vì nó không khai thác một lỗ hổng trong Mac OS X hay bất kỳ một phần mềm nào khác nên phần mềm độc hại này lừa người dùng tải về và mở tài liệu PDF dường như vô thưởng vô phạt nhưng thực sự tập tin đó là một thực thi.Sau khi chạy, "dropper" tải về yếu tố của giai đoạn thứ hai là "backdoor" và mở ra một tập tin PDF bằng tiếng Trung Quốc. F-Secure cho biết rằng PDF cũng là một thủ thuật sleight-of-hand khác. "Các thành phần "dropper" tải về một tập tin PDF trong thư mục /tmp, sau đó sẽ mở ra để đánh lạc hướng người sử dụng khiến họ không nhận ra bất kỳ hoạt động nào khác đang xảy ra”, công ty cho biết trong một mô tả về cuộc tấn công.

Cả Sophos và F-Secure đều lưu ý rằng các phần mềm độc hại không làm việc một cách đáng tin cậy, và hiện không thể kết nối với máy chủ ra lệnh và điều khiển (C&C – command and control) bởi vì về sau nó không có đầy đủ chức năng.

Phần mềm độc hại trên Mac thường là thô so với những mục tiêu của máy tính Windows.Bởi vì máy chủ C&C vẫn chưa hoạt động và vì nó tìm thấy mẫu của Trojans trên VirusTotal (một dịch vụ miễn phí chạy phần mềm độc hại để chống lại một loạt các công cụ chống virus) F-Secure cho rằng phần mềm độc hại này vẫn còn trong giai đoạn thử nghiệm.

Mặc dù hệ điều hành Mac OS X của Apple bao gồm một chức năng chống virus bare-bones những nó đã không được cập nhật để phát hiện Trojan “dropper” hoặc “backdoor”. Ví dụ, khi kiểm tra của một số máy Mac chạy Lion thì phát hiện ra rằng Apple cập nhật chức năng chống virus mới nhất vào ngày 9 tháng 8.

Người dùng Mac đã rất lo lắng khi gặp phải một phần mềm độc hại lớn nhất đầu năm nay, khi một loạt các chương trình bảo mật giả mạo, được gọi là "scareware", nhằm vào họ.

Cao Thắng