Cảnh báo người dùng Mac: loại mã độc đầu tiên được phát hiện trong năm 2017

By | 9:24 am | 26/07/2017

macos-malware-fruitfly

FruitFly được phát hiện trên các thiết bị Mac vào đầu năm nay bởi nhà nghiên cứu Thomas Reed của Malwarebytes.

Nhiều tháng sau, Patrick Wardle, giám đốc nghiên cứu bảo mật của Synack (trước đây là hacker của NSA) đã phát hiện ra khoảng 400 máy Mac bị nhiễm FruitFly 2 (biến thể của FruitFly). Ông tin rằng số lượng máy Mac bị nhiễm FruitFly 2 có thể sẽ cao hơn nhiều.

Mặc dù chưa biết ai đứng đằng sau FruitFly hay cách mà nó lây nhiễm vào các máy Mac, nhưng các nhà nghiên cứu tin rằng loại mã độc đầu tiên của OS X/macOS trong năm 2017 này đã hoạt động trong khoảng 10 năm, vì một số mã code của nó bắt đầu từ năm 1998.

Giống như hầu hết các mã độc khác, Fruitfly có thể lây nhiễm giữa các máy Mac hoặc thông qua trang các website độc hại hoặc thông qua các email lừa đảo hoặc các ứng dụng bẫy.

FruitFly có khả năng thực hiện các shell commands, kiểm soát con trỏ chuột, chụp webcam, kill các tiến trình đang chạy, kiểm soát thời gian hoạt động của hệ thống, lấy được ảnh chụp màn hình, và thậm chí là báo động tới hacker khi người dùng đang hoạt động trên máy Mac.

“Tôi nghĩ lý do duy nhất giúp mã độc này không bị phát hiện cho tới bây giờ là do nó chỉ tấn công nhắm tới mục tiêu cụ thể, lâu dài.” theo Reed.

Mặc dù không có bằng chứng nào cho thấy mối liên hệ giữa phần mềm độc hại này với một nhóm hacker cụ thể, nhưng thực tế cho thấy có vẻ như nó hoạt động với mục đích gián điệp.

Wardle phát hiện ra nạn nhân của FruitFly sau khi ông đăng ký một máy chủ C & C mà hacker đã từng sử dụng. Sau đó, ông nhận thấy khoảng 400 người dùng Mac bị nhiễm FruitFly đã bắt đầu kết nối với máy chủ đó, và 90% địa chỉ IP bị nhiễm FruitFly được đặt tại Hoa Kỳ. Bên cạnh đó ông còn có thể thấy được tên của các máy Mac bị nhiễm.

Theo Wardle: Đây không phải là hành vi của tội phạm mạng, không có quảng cáo, không có keylogger hay ransomware. Các tính năng của nó giống như các hành động hỗ trợ tương tác.

Wardle report mã độc này đến Apple và Apple đã nhanh chóng phát hành các bản vá bảo mật để giải quyết chúng. Bởi vậy người dùng Mac nên cập nhật các bản vá bảo mật sớm nhất có thể.

Theo The Hacker News