Các nhà nghiên cứu của SentinelLabs đã phát hiện một họ virus mới nhắm vào máy tính macOS. Mối đe dọa mới này, được các chuyên gia gọi là FlexibleFerret, được coi là không thể phát hiện được. Hiện tại, cơ chế bảo mật của Apple không thể xác định được tất cả phần mềm độc hại.
Phần mềm độc hại này đang bị khai thác như một phần của làn sóng tấn công mạng mang tên "Phỏng vấn lây lan". Tin tặc đóng giả là người tuyển dụng đang tìm kiếm nhân viên mới. Bằng cách giao tiếp với người tìm việc trong buổi phỏng vấn xin việc, tội phạm mạng sẽ thúc đẩy họ cài đặt vi-rút vào máy Mac của mình.
Để đánh lừa mục tiêu, tin tặc sẽ đưa vi-rút vào các bản cập nhật giả mạo cho Google Chrome và phần mềm cài đặt cho Zoom. Đôi khi, vi-rút cũng ẩn trong một bản "cập nhật phần mềm bắt buộc như VCam hoặc CameraAccess cho các cuộc họp ảo" giả mạo.
Sau khi FlexibleFerret xâm nhập được vào máy tính, phần mềm độc hại sẽ thêm một cửa hậu vào hệ điều hành. Điều này mở ra cánh cửa cho việc cài đặt tất cả các loại virus có thể xảy ra. Cuộc tấn công dẫn đến việc đánh cắp dữ liệu nhạy cảm.
FlexibleFerret dựa vào chứng chỉ nhà phát triển hợp lệ. Chứng chỉ này, hiện đã bị Apple thu hồi, cho phép vi-rút vượt qua các biện pháp bảo vệ macOS tiêu chuẩn và tự coi mình là phần mềm hợp pháp.
Để chống lại mối đe dọa, Apple đã cập nhật XProtect, hệ thống bảo vệ chống vi-rút được tích hợp vào macOS. Nó được lập trình để phát hiện và chặn phần mềm độc hại đã biết. Khi một tệp được tải xuống hoặc mở, macOS sẽ kiểm tra xem tệp đó có khớp với mối đe dọa đã biết hay không dựa trên chữ ký của phần mềm. Sau khi cập nhật, hệ thống có thể phát hiện một số phiên bản FlexibleFerret, SentinelLabs cho biết. Một số biến thể vẫn chưa thể phát hiện. Trên thực tế, tin tặc đã phản ứng bằng cách điều chỉnh các loại vi-rút để XProtect không hoạt động.
Đứng sau các cuộc tấn công mạng này là tội phạm mạng được Triều Tiên chỉ định. Được chính phủ Kim Jong Un tài trợ, bọn cướp biển có nguồn lực đáng kể để thực hiện các hoạt động của mình. Theo ước tính của SentinelLabs trong báo cáo, các cuộc tấn công đã gia tăng kể từ mùa đông năm 2023.
Các nhà nghiên cứu cho biết họ đã quan sát thấy "sự gia tăng mạnh mẽ" các loại vi-rút nhắm vào máy Mac trong năm qua. Trong số các loại vi-rút đang thịnh hành có "kẻ đánh cắp thông tin", được thiết kế để lấy cắp toàn bộ dữ liệu từ máy tính.
Nguồn: SentinelOne
Những nhà tuyển dụng giả đang bẫy những người tìm việc
Phần mềm độc hại này đang bị khai thác như một phần của làn sóng tấn công mạng mang tên "Phỏng vấn lây lan". Tin tặc đóng giả là người tuyển dụng đang tìm kiếm nhân viên mới. Bằng cách giao tiếp với người tìm việc trong buổi phỏng vấn xin việc, tội phạm mạng sẽ thúc đẩy họ cài đặt vi-rút vào máy Mac của mình.
Để đánh lừa mục tiêu, tin tặc sẽ đưa vi-rút vào các bản cập nhật giả mạo cho Google Chrome và phần mềm cài đặt cho Zoom. Đôi khi, vi-rút cũng ẩn trong một bản "cập nhật phần mềm bắt buộc như VCam hoặc CameraAccess cho các cuộc họp ảo" giả mạo.
Sau khi FlexibleFerret xâm nhập được vào máy tính, phần mềm độc hại sẽ thêm một cửa hậu vào hệ điều hành. Điều này mở ra cánh cửa cho việc cài đặt tất cả các loại virus có thể xảy ra. Cuộc tấn công dẫn đến việc đánh cắp dữ liệu nhạy cảm.
Chứng chỉ nhà phát triển hợp lệ
FlexibleFerret dựa vào chứng chỉ nhà phát triển hợp lệ. Chứng chỉ này, hiện đã bị Apple thu hồi, cho phép vi-rút vượt qua các biện pháp bảo vệ macOS tiêu chuẩn và tự coi mình là phần mềm hợp pháp.
Để chống lại mối đe dọa, Apple đã cập nhật XProtect, hệ thống bảo vệ chống vi-rút được tích hợp vào macOS. Nó được lập trình để phát hiện và chặn phần mềm độc hại đã biết. Khi một tệp được tải xuống hoặc mở, macOS sẽ kiểm tra xem tệp đó có khớp với mối đe dọa đã biết hay không dựa trên chữ ký của phần mềm. Sau khi cập nhật, hệ thống có thể phát hiện một số phiên bản FlexibleFerret, SentinelLabs cho biết. Một số biến thể vẫn chưa thể phát hiện. Trên thực tế, tin tặc đã phản ứng bằng cách điều chỉnh các loại vi-rút để XProtect không hoạt động.
Đứng sau các cuộc tấn công mạng này là tội phạm mạng được Triều Tiên chỉ định. Được chính phủ Kim Jong Un tài trợ, bọn cướp biển có nguồn lực đáng kể để thực hiện các hoạt động của mình. Theo ước tính của SentinelLabs trong báo cáo, các cuộc tấn công đã gia tăng kể từ mùa đông năm 2023.
Các nhà nghiên cứu cho biết họ đã quan sát thấy "sự gia tăng mạnh mẽ" các loại vi-rút nhắm vào máy Mac trong năm qua. Trong số các loại vi-rút đang thịnh hành có "kẻ đánh cắp thông tin", được thiết kế để lấy cắp toàn bộ dữ liệu từ máy tính.
Nguồn: SentinelOne
