Phần mềm độc hại Mac mới, có thể từ Bắc Triều Tiên, giả dạng PDF Viewer
(Tín dụng: Getty Images)
Có vẻ như tin tặc Triều Tiên đã quay trở lại với một phần mềm độc hại macOS khác đang lưu hành qua ứng dụng xem PDF.
Công ty bảo vệ Jamf phát hiện(Mở ra trong một cửa sổ mới) phần mềm độc hại, được đặt tên là “RustBucket”, đến thông qua một ứng dụng có tên là “Trình xem PDF nội bộ”. Bản thân ứng dụng hoạt động như một trình xem PDF đang hoạt động. Thật thú vị, nó sẽ chỉ cố gắng lây nhiễm toàn bộ máy Mac nếu nó chạy đúng tệp PDF, có thể là một cách để ngăn chặn sự phát hiện từ các nhà nghiên cứu bảo mật và phần mềm chống vi-rút.
(Tín dụng: Jamf)
Jamf đã phát hiện ra một trong những tệp PDF chính xác, có tiêu đề “InvestmentStrategy(Protected).pdf.” Nếu được mở bằng trình xem PDF độc hại, người dùng sẽ bắt gặp một tài liệu dài 9 trang về một công ty đầu tư mạo hiểm đang tìm cách đầu tư vào các công ty khởi nghiệp công nghệ khác nhau.
(Tín dụng: Jamf)
Do đó, tin tặc có khả năng nhắm mục tiêu nạn nhân thông qua các tin nhắn lừa đảo về cơ hội đầu tư. Nhưng trên thực tế, trình xem PDF độc hại sẽ bí mật bắt đầu liên lạc với máy chủ do tin tặc kiểm soát sau khi đọc đúng tệp PDF. Sau đó, nó có thể tải xuống một tải trọng độc hại mới có kích thước 11,2 MB có mã để tấn công máy Mac dựa trên Arm và Intel.
Jamf cho biết trong báo cáo: “Khi thực thi lần đầu, nó thực hiện một số lệnh điều chỉnh hệ thống. “Trong mô-đun này là khả năng xem thông tin cơ bản về hệ thống, danh sách quy trình, thời gian hiện tại và liệu nó có đang chạy trong một hệ thống hay không. [virtual machine].”
Sau đó, máy chủ do tin tặc kiểm soát có thể hướng phần mềm độc hại tải xuống và thực thi các tải trọng độc hại bổ sung trên máy Mac.
(Tín dụng: Jamf)
Tin vui là bản thân ứng dụng này chưa được ký và sẽ chỉ chạy nếu người dùng ghi đè thủ công ứng dụng tích hợp sẵn của Apple người gác cổng(Mở ra trong một cửa sổ mới) bảo vệ, sẽ tự động cảnh báo bạn về việc chạy các chương trình phần mềm không đáng tin cậy được tải xuống từ internet.
Jamf cũng nhận thấy phần mềm độc hại này có những điểm tương đồng về kỹ thuật với các cuộc tấn công khác gắn liền với “BlueNoroff”, một nhóm nhỏ hoạt động dưới nhóm hack Lazarus của Bắc Triều Tiên, có lẽ nổi tiếng nhất với vụ vi phạm Sony Pictures năm 2014.
Kể từ đó, Lazarus đã bị phát hiện tập trung vào việc hack tiền điện tử và các công ty tài chính thông qua phần mềm độc hại của cả Windows và macOS, thường là trong các cuộc tấn công có chủ đích. Trở lại năm 2018, các nhà nghiên cứu bảo mật của Kaspersky đã lần đầu tiên phát hiện ra các tin tặc Triều Tiên lây nhiễm phần mềm độc hại cho các thiết bị macOS.
Jamf nói thêm: “Phần mềm độc hại được sử dụng ở đây cho thấy rằng khi macOS tăng thị phần, những kẻ tấn công nhận ra rằng một số nạn nhân sẽ miễn nhiễm nếu công cụ của họ không được cập nhật để bao gồm hệ sinh thái Apple.”
Thật vậy, băng đảng Lockbit khét tiếng cũng đã bị phát hiện đang phát triển một cuộc tấn công ransomware mới có khả năng lây nhiễm các thiết bị macOS.
Giống như những gì bạn đang đọc?
Đăng ký cho an ninhxem bản tin về các câu chuyện bảo mật và quyền riêng tư hàng đầu của chúng tôi được gửi ngay đến hộp thư đến của bạn.
Bản tin này có thể chứa các liên kết quảng cáo, giao dịch hoặc liên kết. Đăng ký nhận bản tin cho biết bạn đồng ý với Điều khoản sử dụng Và Chính sách bảo mật. Bạn có thể hủy đăng ký nhận bản tin bất cứ lúc nào.
Cảm ơn bạn đã đăng ký!
Đăng ký của bạn đã được xác nhận. Theo dõi hộp thư đến của bạn!
Đăng ký nhận các bản tin khác
No Comments