Các máy tính Mac của Apple không còn là nơi an toàn trước các loại malware và mã độc khác, khi các nhà nghiên cứu bảo mật phát hiện ngày càng nhiều loại mã độc nhắm đến nền tảng thiết bị này.
Theo báo cáo của The Hacker News, một phần mềm độc hại mới đang phát động các cuộc tấn công nhắm vào các máy Mac – với cả nền tảng chip Apple Silicon và chip Intel. Các nhà nghiên cứu bảo mật tại công ty quản lý thiết bị Kandji đặt tên mã độc này là Cuckoo. Điều đặc biệt làm nổi bật Cuckoo so với các loại phần mềm độc hại khác là nó vừa có chức năng như một phần mềm đánh cắp thông tin vừa như phần mềm gián điệp.
Trong một bài đăng trên blog, Adam Kohler và Christopher Lopez của Kandji giải thích rằng họ đã phát hiện một tệp nhị phân Mach-O độc hại trước đó chưa từng được phát hiện trên trang web theo dõi malware VirusTotal với tên "DumpMedia Spotify Music Converter."
Sau đó, họ đã tra cứu tên của chương trình trực tuyến và phát hiện ra rằng nó được phân phối từ một trang web có tên dumpmedia[.]com, nơi cung cấp nhiều ứng dụng giúp người dùng tải lậu nhạc từ các dịch vụ streaming bằng cách chuyển đổi chúng thành các tệp MP3.
Mặc dù hiện tại phần mềm độc hại Cuckoo đang được phát tán trên các trang web tải lậu nhạc, cuộc tấn công có thể dễ dàng thay đổi để phân phối thông qua các ứng dụng giả mạo khác. Dưới đây là mọi thứ bạn cần biết về mối đe dọa phần mềm độc hại Mac mới này cùng một số mẹo về cách bạn có thể giữ cho Mac của mình không bị nhiễm virus.
Thiết lập tính bền vững và nâng cao đặc quyền
Sau khi tải xuống ứng dụng DumpMedia Spotify Music Converter, các nhà nghiên cứu phát hiện ra nó chứa một gói ứng dụng. Điều này thật thú vị vì thông thường, các ứng dụng macOS chỉ cần được kéo vào thư mục Ứng dụng — ngược lại, ứng dụng này khuyến khích người dùng nhấp chuột phải vào nó rồi chọn mở.
Ứng dụng được tìm thấy trong gói không có ID nhà phát triển nên tính năng Gatekeeper của Apple sẽ cố gắng ngăn chặn nó không được chạy. Tuy nhiên, nếu người dùng cho phép nó chạy trên máy tính của họ theo cách thủ công, malware này sẽ được kích hoạt.
Giống như malware MacStealer, Cuckoo sử dụng một script để hiển thị một lời nhắc mật khẩu giả mạo nhằm lừa người dùng nhập mật khẩu hệ thống của họ. Nếu các hacker đứng sau phần mềm độc hại này có được mật khẩu hệ thống của nạn nhân, họ có thể nâng cao đặc quyền của phần mềm độc hại trên máy bị nhiễm.
Cuckoo sau đó sẽ ghi nhận các ứng dụng đã được cài đặt trên máy Mac bị xâm nhập, chụp ảnh màn hình và thu thập dữ liệu từ iCloud Keychain, Apple Notes, các trình duyệt web, ví tiền điện tử và các ứng dụng như Discord, FileZilla, Steam và Telegram.
Cũng đáng chú ý là Cuckoo sử dụng một kỹ thuật gọi là LaunchAgent để thiết lập tính bền vững trên máy Mac bị nhiễm. Nhờ đó, ngay cả khi bạn khởi động lại máy tính, phần mềm độc hại vẫn sẽ chạy vào lần tiếp theo bạn bật Mac lên. Tương tự, phần mềm độc hại kiểm tra để đảm bảo rằng máy Mac được nhắm mục tiêu không nằm ở Armenia, Belarus, Kazakhstan, Nga hoặc Ukraine trước khi bắt đầu đánh cắp dữ liệu nhạy cảm.
Bảo vệ máy Mac trước các cuộc tấn công mã độc
Như thường lệ với các chủng phần mềm độc hại khác, Cuckoo hiện đang được phát tán trên các trang web sao chép. Ngoài việc là hành động bất hợp pháp và có hại cho các nhà sáng tạo, việc sao chép nội dung trực tuyến thường là cách chắc chắn để kết thúc với một sự nhiễm phần mềm độc hại tồi tệ.
Mặc dù Mac của bạn đi kèm với phần mềm antivirus tích hợp dưới dạng XProtect của Apple, bạn cũng nên xem xét một vài giải pháp phần mềm antivirus tốt nhất cho Mac. Các chương trình antivirus trả phí này thường nhận được các bản cập nhật thường xuyên hơn, đi kèm với nhiều tính năng hơn và thường cho bạn quyền truy cập vào các tiện ích bổ sung như VPN hoặc trình quản lý mật khẩu.
Chúng ta có thể thấy các hacker đứng sau chiến dịch này nghĩ ra một cách khác để phân phối phần mềm độc hại Cuckoo mới như qua email lừa đảo hoặc các ứng dụng độc hại. Tuy nhiên, ít nhất là vào thời điểm hiện tại, nếu bạn tránh các trang web cung cấp cách tải nhạc từ các dịch vụ phát trực tuyến, bạn sẽ an toàn.
