Mặc dù mọi người thường nghĩ rằng máy Mac an toàn trước phần mềm độc hại, nhưng điều đó hoàn toàn không đúng. Một ví dụ điển hình là một chiến dịch Atomic Stealer mới đang được sử dụng để lây nhiễm phần mềm độc hại đánh cắp thông tin vào các máy MacBook tốt nhất và các máy tính Apple khác đã bị phát hiện trực tuyến.
Theo báo cáo của The Hacker News, chiến dịch này đã được công ty an ninh mạng CloudSEK phát hiện và người ta tin rằng đây là tác phẩm của tin tặc Nga do có các bình luận trong mã nguồn của phần mềm độc hại.
Điều khiến chiến dịch này trở nên đặc biệt thú vị là ngoài việc đánh cắp tên miền, nó cũng sử dụng kỹ thuật xã hội để lừa người dùng Mac không nghi ngờ mắc bẫy. Đối với những người không quen thuộc, typosquatting là một loại tấn công mà tội phạm mạng đăng ký các tên miền giống nhau để đặt bẫy những nạn nhân tiềm năng nhập sai URL của một trang web phổ biến vào thanh địa chỉ của trình duyệt. Mặc dù họ có thể nghĩ rằng mình đang ở trên trang web của một công ty nổi tiếng, nhưng thực tế họ đang ở trên một trang web giả mạo được thiết kế để bắt chước trang web thật, cũng được sử dụng để phát tán phần mềm độc hại nguy hiểm.
Sau khi bị nhiễm Atomic Stealer, phần mềm độc hại này có thể đánh cắp dữ liệu cá nhân và nhạy cảm từ máy Mac của bạn như mật khẩu được lưu trữ trong Apple Keychain, cookie của trình duyệt, thông tin đăng nhập, thông tin chi tiết về thẻ tín dụng, v.v.
Sau đây là mọi thông tin bạn cần biết về chiến dịch phần mềm độc hại mới này cùng với một số mẹo và thủ thuật để ngăn bạn trở thành nạn nhân của nó và các cuộc tấn công mạng khác.
Theo CloudSek, những tin tặc đứng sau chiến dịch mới này đang mạo danh nhà cung cấp dịch vụ cáp và internet Spectrum của Hoa Kỳ bằng một số trang web giả mạo khác nhau. Trong khi trang web chính thức của Spectrum có thể được tìm thấy tại spectrum[.]com, trong bài đăng trên blog, công ty này nêu bật một trong những trang web giả mạo này sử dụng URL panel-spectrum[.]net.
Khi vào trang web giả mạo này, các nạn nhân tiềm năng sẽ được yêu cầu hoàn thành reCAPTCHA để xác minh rằng họ không phải là bot. Vì nhiều trang web sử dụng hình thức xác minh này hoặc các hình thức xác minh tương tự, nhiều người thậm chí có thể không nghĩ ngợi gì khi được yêu cầu đánh dấu vào ô để chứng minh họ là người. Tuy nhiên, trên trang web giả mạo do CloudSek chia sẻ, sau khi xác minh không thành công, các nạn nhân tiềm năng sẽ được yêu cầu hoàn thành một xác minh thay thế.
Tuy nhiên, khi ai đó nhấp vào nút có nội dung "Xác minh thay thế", một lệnh sẽ được sao chép vào bảng tạm của họ mà họ không biết. Một tập hợp các hướng dẫn sẽ xuất hiện yêu cầu họ mở dấu nhắc lệnh, dán mã đã sao chép vào bảng tạm của họ và nhấn "Enter" để chạy mã đó trên Windows. Tuy nhiên, nếu ai đó đang sử dụng máy Mac, các hướng dẫn hơi khác sẽ được hiển thị dẫn đến cùng một kết quả, máy tính của họ bị nhiễm phần mềm độc hại đánh cắp thông tin.
Trên máy Mac, một tập lệnh shell độc hại được sử dụng để đánh cắp mật khẩu hệ thống và tải xuống một biến thể của phần mềm độc hại Atomic Stealer. Như nhà nghiên cứu bảo mật CloudSek Koushik Pal chỉ ra trong báo cáo của công ty, tập lệnh này “sử dụng các lệnh macOS gốc để thu thập thông tin đăng nhập, bỏ qua các cơ chế bảo mật và thực thi các tệp nhị phân độc hại”.
Vì tin tặc sử dụng đủ mọi thủ thuật khác nhau để dẫn nạn nhân tiềm năng đến các trang web giả mạo phát tán phần mềm độc hại, nên tốt nhất là bạn nên nhập thủ công trang web của công ty vào thanh địa chỉ của trình duyệt. Tuy nhiên, bạn cũng nên kiểm tra lại xem mình đã viết đúng chính tả chưa.
Nếu bạn không biết trang web chính thức của công ty, bạn có thể sử dụng công cụ tìm kiếm để tìm trang web đó. Tuy nhiên, có một điều bạn cần lưu ý là không nhấp vào liên kết đầu tiên mà bạn nhìn thấy. Lý do là vì Google và các công cụ tìm kiếm khác, các liên kết ở trên cùng thường là quảng cáo trong khi việc tìm trang web thực tế của công ty thường yêu cầu bạn phải cuộn xuống một chút. Vấn đề khi nhấp vào quảng cáo hoặc kết quả tìm kiếm được tài trợ là tội phạm mạng thường sử dụng quảng cáo độc hại để đưa người dùng đến các trang web giả mạo thay vì đến trang web thực tế của công ty vì bất kỳ ai (kể cả tin tặc) cũng có thể mua không gian quảng cáo trực tuyến.
Từ đây, bạn cần biết cách xác định cuộc tấn công ClickFix. Nhiều trang web yêu cầu bạn hoàn thành reCAPTCHA hoặc hình thức xác minh khác trước khi vào. Tuy nhiên, nếu một trang web yêu cầu bạn mở cửa sổ lệnh và dán thứ gì đó từ bảng tạm của bạn vào đó trước khi nhấn "enter", thì đây là một dấu hiệu cảnh báo nghiêm trọng. Một công ty hợp pháp có thể yêu cầu bạn chọn tất cả các hình ảnh là ô tô nhưng họ sẽ không bao giờ sao chép mã vào bảng tạm của bạn mà bạn không biết và sau đó yêu cầu bạn dán và chạy ở nơi khác.
Mặc dù máy Mac của bạn có phần mềm bảo mật tích hợp dưới dạng XProtect của Apple, nhưng bạn vẫn nên cân nhắc đầu tư vào một trong những giải pháp phần mềm diệt vi-rút tốt nhất cho máy Mac. Không giống như phần mềm diệt vi-rút miễn phí, các tùy chọn trả phí này được cập nhật thường xuyên hơn và có nhiều khả năng phát hiện và giúp bạn tránh các loại phần mềm độc hại mới hơn như Atomic Stealer.
Vì các cuộc tấn công sử dụng kỹ thuật ClickFix này đã chứng minh là thành công và có lợi cho tin tặc và tội phạm mạng khác, nên chúng sẽ không biến mất trong thời gian tới. Đây là lý do tại sao bạn nên tự giáo dục bản thân và các thành viên trong gia đình về những mối đe dọa như thế này để có thể phát hiện ra bất kỳ dấu hiệu cảnh báo nào trước khi máy Mac hoặc PC của bạn bị nhiễm phần mềm độc hại.
Theo báo cáo của The Hacker News, chiến dịch này đã được công ty an ninh mạng CloudSEK phát hiện và người ta tin rằng đây là tác phẩm của tin tặc Nga do có các bình luận trong mã nguồn của phần mềm độc hại.
Điều khiến chiến dịch này trở nên đặc biệt thú vị là ngoài việc đánh cắp tên miền, nó cũng sử dụng kỹ thuật xã hội để lừa người dùng Mac không nghi ngờ mắc bẫy. Đối với những người không quen thuộc, typosquatting là một loại tấn công mà tội phạm mạng đăng ký các tên miền giống nhau để đặt bẫy những nạn nhân tiềm năng nhập sai URL của một trang web phổ biến vào thanh địa chỉ của trình duyệt. Mặc dù họ có thể nghĩ rằng mình đang ở trên trang web của một công ty nổi tiếng, nhưng thực tế họ đang ở trên một trang web giả mạo được thiết kế để bắt chước trang web thật, cũng được sử dụng để phát tán phần mềm độc hại nguy hiểm.
Sau khi bị nhiễm Atomic Stealer, phần mềm độc hại này có thể đánh cắp dữ liệu cá nhân và nhạy cảm từ máy Mac của bạn như mật khẩu được lưu trữ trong Apple Keychain, cookie của trình duyệt, thông tin đăng nhập, thông tin chi tiết về thẻ tín dụng, v.v.
Sau đây là mọi thông tin bạn cần biết về chiến dịch phần mềm độc hại mới này cùng với một số mẹo và thủ thuật để ngăn bạn trở thành nạn nhân của nó và các cuộc tấn công mạng khác.
Không phải Spectrum mà bạn đang tìm kiếm
Theo CloudSek, những tin tặc đứng sau chiến dịch mới này đang mạo danh nhà cung cấp dịch vụ cáp và internet Spectrum của Hoa Kỳ bằng một số trang web giả mạo khác nhau. Trong khi trang web chính thức của Spectrum có thể được tìm thấy tại spectrum[.]com, trong bài đăng trên blog, công ty này nêu bật một trong những trang web giả mạo này sử dụng URL panel-spectrum[.]net.
Khi vào trang web giả mạo này, các nạn nhân tiềm năng sẽ được yêu cầu hoàn thành reCAPTCHA để xác minh rằng họ không phải là bot. Vì nhiều trang web sử dụng hình thức xác minh này hoặc các hình thức xác minh tương tự, nhiều người thậm chí có thể không nghĩ ngợi gì khi được yêu cầu đánh dấu vào ô để chứng minh họ là người. Tuy nhiên, trên trang web giả mạo do CloudSek chia sẻ, sau khi xác minh không thành công, các nạn nhân tiềm năng sẽ được yêu cầu hoàn thành một xác minh thay thế.
Tuy nhiên, khi ai đó nhấp vào nút có nội dung "Xác minh thay thế", một lệnh sẽ được sao chép vào bảng tạm của họ mà họ không biết. Một tập hợp các hướng dẫn sẽ xuất hiện yêu cầu họ mở dấu nhắc lệnh, dán mã đã sao chép vào bảng tạm của họ và nhấn "Enter" để chạy mã đó trên Windows. Tuy nhiên, nếu ai đó đang sử dụng máy Mac, các hướng dẫn hơi khác sẽ được hiển thị dẫn đến cùng một kết quả, máy tính của họ bị nhiễm phần mềm độc hại đánh cắp thông tin.
Trên máy Mac, một tập lệnh shell độc hại được sử dụng để đánh cắp mật khẩu hệ thống và tải xuống một biến thể của phần mềm độc hại Atomic Stealer. Như nhà nghiên cứu bảo mật CloudSek Koushik Pal chỉ ra trong báo cáo của công ty, tập lệnh này “sử dụng các lệnh macOS gốc để thu thập thông tin đăng nhập, bỏ qua các cơ chế bảo mật và thực thi các tệp nhị phân độc hại”.
Cách giữ an toàn trước phần mềm độc hại trên máy Mac
Vì tin tặc sử dụng đủ mọi thủ thuật khác nhau để dẫn nạn nhân tiềm năng đến các trang web giả mạo phát tán phần mềm độc hại, nên tốt nhất là bạn nên nhập thủ công trang web của công ty vào thanh địa chỉ của trình duyệt. Tuy nhiên, bạn cũng nên kiểm tra lại xem mình đã viết đúng chính tả chưa.
Nếu bạn không biết trang web chính thức của công ty, bạn có thể sử dụng công cụ tìm kiếm để tìm trang web đó. Tuy nhiên, có một điều bạn cần lưu ý là không nhấp vào liên kết đầu tiên mà bạn nhìn thấy. Lý do là vì Google và các công cụ tìm kiếm khác, các liên kết ở trên cùng thường là quảng cáo trong khi việc tìm trang web thực tế của công ty thường yêu cầu bạn phải cuộn xuống một chút. Vấn đề khi nhấp vào quảng cáo hoặc kết quả tìm kiếm được tài trợ là tội phạm mạng thường sử dụng quảng cáo độc hại để đưa người dùng đến các trang web giả mạo thay vì đến trang web thực tế của công ty vì bất kỳ ai (kể cả tin tặc) cũng có thể mua không gian quảng cáo trực tuyến.
Từ đây, bạn cần biết cách xác định cuộc tấn công ClickFix. Nhiều trang web yêu cầu bạn hoàn thành reCAPTCHA hoặc hình thức xác minh khác trước khi vào. Tuy nhiên, nếu một trang web yêu cầu bạn mở cửa sổ lệnh và dán thứ gì đó từ bảng tạm của bạn vào đó trước khi nhấn "enter", thì đây là một dấu hiệu cảnh báo nghiêm trọng. Một công ty hợp pháp có thể yêu cầu bạn chọn tất cả các hình ảnh là ô tô nhưng họ sẽ không bao giờ sao chép mã vào bảng tạm của bạn mà bạn không biết và sau đó yêu cầu bạn dán và chạy ở nơi khác.
Mặc dù máy Mac của bạn có phần mềm bảo mật tích hợp dưới dạng XProtect của Apple, nhưng bạn vẫn nên cân nhắc đầu tư vào một trong những giải pháp phần mềm diệt vi-rút tốt nhất cho máy Mac. Không giống như phần mềm diệt vi-rút miễn phí, các tùy chọn trả phí này được cập nhật thường xuyên hơn và có nhiều khả năng phát hiện và giúp bạn tránh các loại phần mềm độc hại mới hơn như Atomic Stealer.
Vì các cuộc tấn công sử dụng kỹ thuật ClickFix này đã chứng minh là thành công và có lợi cho tin tặc và tội phạm mạng khác, nên chúng sẽ không biến mất trong thời gian tới. Đây là lý do tại sao bạn nên tự giáo dục bản thân và các thành viên trong gia đình về những mối đe dọa như thế này để có thể phát hiện ra bất kỳ dấu hiệu cảnh báo nào trước khi máy Mac hoặc PC của bạn bị nhiễm phần mềm độc hại.
- Hàng triệu chủ sở hữu máy Mac được khuyến cáo cảnh giác với phần mềm độc hại đánh cắp thông tin
- Máy Mac của bạn có cần phần mềm diệt vi-rút không?
- Máy Mac đang bị tấn công bởi phần mềm độc hại nhắm vào ví kỹ thuật số và ứng dụng Ghi chú của Apple
