Đừng tưởng dùng Mac là an toàn: Mã độc này ăn cắp thông tin mà bạn không thể biết

Một malware khó chịu trên macOS đang được tích cực tận dụng cho việc lấy cắp dữ liệu cá nhân người dùng Mac. Các nhà nghiên cứu bảo mật cho biết, phần mềm gián điệp (spyware) CloudMensis có thể cho phép kẻ tấn công tải về các file, ghi lại tổ hợp phím, chụp ảnh màn hình cùng nhiều thao tác khác.

Công ty an ninh mạng ESET nói rằng phần mềm gián điệp đã được sử dụng khá phổ biến từ tháng 2 và dường như đang hướng đến các cá nhân cụ thể. Tom’s Guide cho biết:

“Một backdoor chưa từng được biết đến trước đây đã được phát hiện trong macOS. Nó hiện đang được khai thác một cách tích cực nhằm theo dõi người dùng máy Mac bị xâm nhập.

Được phát hiện lần đầu bởi các nhà nghiên cứu tại công ty an ninh mạng ESET, phần mềm độc hại mới được đặt tên là CloudMensis. Các khả năng của CloudMensis cho thấy những người tạo ra đã thiết kế ra nó nhằm mục đích thu thập thông tin từ máy Mac của nạn nhân và phần mềm độc hại này có thể lấy cắp tài liệu và ghi lại thao tác phím, liệt kê email hay file đính kèm, liệt kê file từ bộ nhớ di động và chụp màn hình.

Dẫu CloudMensis chắc chắn là một mối đe dọa đối với người dùng Mac, nhưng việc phân phối cực kỳ hạn chế cho thấy nó đang được sử dụng như một phần của những đối tượng mục tiêu. Dựa trên những gì các nhà nghiên cứu của ESET đã quan sát được cho đến nay, các tội phạm mạng đứng sau việc triển khai phần mềm độc hại này dường như đang nhắm mục tiêu đến những người dùng cụ thể mà họ đặc biệt chú ý.

Các nhà nghiên cứu ESET cho biết: “Chúng tôi vẫn chưa biết CloudMensis được phân phối ban đầu như thế nào và mục tiêu là ai. Chất lượng chung của những đoạn mã và không có sự xáo trộn nào cho thấy các tác giả có thể không quen với việc phát triển phần mềm cho Mac và không quá cao tay. Tuy nhiên, rất nhiều nguồn đã được đưa vào nhằm biến CloudMensis trở thành một công cụ gián điệp mạnh mẽ và là mối đe dọa đối với các mục tiêu tiềm năng.””

Các malware thường “gọi về nhà” để nhận lệnh và tải về các thành phần malware bổ sung, và hành động này sẽ buộc phải kết nối với một máy chủ riêng do kẻ tấn công điều hành. CloudMensis khác thường ở chỗ nó có thể chạy trên các dịch vụ lưu trữ đám mây.

“Sau khi có được quyền thực thi mã và đặc quyền quản trị trên máy Mac bị xâm nhập, nó chạy malware ở giai đoạn đầu, truy xuất giai đoạn thứ 2 với các tính năng bổ sung từ dịch vụ lưu trữ đám mây.

Giai đoạn thứ 2 là một thành phần lớn hơn nhiều, được đóng gói với các tính năng thu thập thông tin từ máy Mac bị xâm nhập. Dù có 39 lệnh hiện có sẵn, giai đoạn thứ 2 của CloudMensis nhằm mục đích tách tài liệu, ảnh chụp màn hình, tệp đính kèm email và thông tin khác từ nạn nhân.

CloudMensis sử dụng lưu trữ đám mây để vừa nhận lệnh từ những kẻ điều hành vừa để lọc các file. Hiện tại, nó hỗ trợ 3 nhà cung cấp khác nhau: pCloud, Yandex Disk và Dropbox.”

Không rõ bằng cách nào malware này có thể đánh bại toàn bộ hệ thống bảo vệ của macOS, bởi theo ESET, nó không tận dụng bất kỳ lỗ hổng chưa từng được công bố nào.

Hiện tại, spyware này dường như đang được sử dụng cho những đối tượng được nhắm mục tiêu cụ thể, đồng nghĩa rằng hầu hết các chủ sở hữu máy Mac không cần phải lo lắng về khả năng có thể trở thành nạn nhân của nó. Dẫu thế, điều đáng lo ngại là CloudMensis có thể phá vỡ các biện pháp bảo mật từ xa trong macOS mà không khai thác lỗ hổng zero-day. Tốt hơn hết, bạn nên tuân thủ một số biện pháp phòng ngừa an ninh mạng đơn giản. Đặc biệt nhất, không bao giờ mở các file đính kèm không rõ nội dung, ngay cả khi chúng xuất hiện từ một địa chỉ đã biết, và chỉ tải về phần mềm từ Mac App Store hoặc trang web của các nhà phát triển mà bạn tin tưởng.