Biến thể mã độc Flashback chưa buông tha máy MacThủ thuật tăng cường bảo mật cho Mac OS X

Phóng to

Ảnh minh họa: Internet

Loại mã độc này thuộc nhóm Trojan, không khai thác lỗi bảo mật để thâm nhập mà dùng những trò lừa bịp đánh lừa nạn nhân. Nó được Công ty phần mềm anti-virus cho Mac Intego đặt tên "Crisis" hay còn gọi "Morcut" theo Hãng bảo mật Sophos.

Morcut giả mạo trình cài đặt Adobe Flash Player qua cái tên dễ gây nhầm lẫn "AdobeFlashPlayer.jar". Tuy nhiên, đây lại là một tập tin nén (.jar - Java Archive) mà khi nạn nhân mở ra sẽ xuất hiện một tập tin dạng .class khác mang tên WebEnhancer kèm hai tập tin win và mac. Theo đó, Morcut không chỉ tấn công vào hệ thống Mac mà các máy dùng Windows cũng không là ngoại lệ, một loại mã độc đa nền tảng. Chọn cài đặt "mac" cũng đồng nghĩa đã mời Morcut vào hệ thống Mac.

Phóng to

Thông báo thực thi tập tin WebEnhancer - Ảnh: Sophos

Theo Sophos, Morcut trang bị một số loại "vũ khí" cao cấp khiến nó thật sự trở nên nguy hiểm khi đã thâm nhập hệ thống. Không cần phải có mật khẩu quản trị (admin) để cài đặt tập tin giả mạo, hoạt động với quyền hạn cao nhất (root), lớp "áo khoác" giúp nó "tàng hình" trên hệ thống như là một loại rootkit ẩn mình, khả năng mở "cửa hậu" (backdoor) trên hệ thống Mac của nạn nhân, một thành phần ra lệnh-điều khiển (C&C) giúp nó nhận những chỉ thị từ xa và tất nhiên kèm theo khả năng ghi nhận, đánh cắp dữ liệu.

Hãng bảo mật Symantec cho biết Morcut qua mặt cả "con mắt" Activity Monitor chuyên theo dõi các hoạt động trên hệ thống Mac OS X.

Sophos khuyến cáo người dùng Mac nên gỡ bỏ Java nếu không thật sự cần thiết và sử dụng một trình anti-virus luôn chạy trong thời gian thực. Bạn đọc có thể dùng Sophos Anti-virus for Mac (Home Edition) miễn phí, phiên bản mới đã tương thích với hệ điều hành OS X 10.8 (Mountain Lion).

Khi đã thâm nhập, Morcut theo dõi những nội dung riêng tư từ các trình tin nhắn tức thời (IM) như MSN Messenger, Adium và cả trình gọi thoại Internet (VoIP) Skype, các trình duyệt web Safari hay FireFox. Nó ghi nhận nhiều loại nội dung được truyền tải bởi các chương trình trên, bao gồm cả cuộc gọi (âm thanh) từ Skype, các địa chỉ web đã truy cập từ trình duyệt kèm theo nội dung thao tác tại đó.

Đặc biệt, Morcut có thể tự kích hoạt webcam và microphone trên máy nạn nhân để "xem" và nghe trộm, chụp lại ảnh màn hình duyệt web của Safari và FireFox, ghi lại thao tác bàn phím, đánh cắp toàn bộ sổ địa chỉ liên hệ trong danh bạ của máy.

Các dữ liệu thu thập được sẽ gửi đến máy chủ quản lý từ xa.

Theo phân tích từ Công ty Intego, mã nguồn Morcut (Crisis) dựa trên phần mềm thương mại Remote Control System (RCS) được phát triển bởi Hãng Hacking Team (Ý). Tuy nhiên, phần mềm này chỉ được bán cho các bộ phận tình báo thuộc chính phủ hay các cơ quan thực thi pháp luật và mức giá của nó cũng khó chạm tới, 245.600 USD (tương đương 5,1 tỉ đồng).

Khả năng của RCS rất mạnh mẽ, có thể theo dõi và quản lý cùng lúc các hệ thống lẫn smartphone (điện thoại thông minh) bị lây nhiễm với số lượng lên đến hàng trăm ngàn.

Hacking Team không đưa ra phản hồi chính thức nào về mối liên hệ với loại mã độc mới này.