Mã độc mới tấn công "Sư tử núi"

13:2431/07/2012

Vừa chính thức phát hành vào ngày 25-7, hệ điều hành Mountain Lion (Sư tử núi) đã phải đối mặt với loại mã độc nguy hiểm chuyên do thám hoạt động của người dùng kể cả khi họ thực hiện cuộc gọi Internet.

mã độc, Mountain Lion, Sư tử núi, OS X 10.8, Mac OS X, Morcut, Crisis, Hacker, Bảo mật
Ảnh minh họa: Internet

Loại mã độc này thuộc nhóm Trojan, không khai thác lỗi bảo mật để thâm nhập mà dùng những trò lừa bịp đánh lừa nạn nhân. Nó được Công ty phần mềm anti-virus cho Mac Intego đặt tền "Crisis" (hay còn gọi "Morcut" theo Hãng bảo mật Sophos).

Morcut giả mạo trình cài đặt Adobe Flash Player qua cái tền dễ gây nhầm lẫn "AdobeFlashPlayer.jar". Tuy nhiền, đây lại là một tập tin nén (.jar - Java Archive) mà khi nạn nhân mở ra sẽ xuất hiện một tập tin dạng .class khác mang tền WebEnhancer kèm hai tập tin win và mac. Theo đó, Morcut không chỉ tấn công vào hệ thống Mac mà các máy dùng Windows cũng không là ngoại lệ, một loại mã độc đa nền tảng. Chọn cài đặt "mac" cũng đồng nghĩa đã mời Morcut vào hệ thống Mac.

mã độc, Mountain Lion, Sư tử núi, OS X 10.8, Mac OS X, Morcut, Crisis, Hacker, Bảo mật
Thông báo thực thi tập tin WebEnhancer - Ảnh: Sophos

Theo Sophos, Morcut trang bị một số loại "vũ khí" cao cấp khiến nó thật sự trở nền nguy hiểm khi đã thâm nhập hệ thống. Không cần phải có mật khẩu quản trị (admin) để cài đặt tập tin giả mạo, hoạt động với quyền hạn cao nhất (root), lớp "áo khoác" giúp nó "tàng hình" trền hệ thống như là một loại rootkit ẩn mình, khả năng mở "cửa hậu" (backdoor) trền hệ thống Mac của nạn nhân, một thành phần ra lệnh-điều khiển (C&C) giúp nó nhận những chỉ thị từ xa và tất nhiền kèm theo khả năng ghi nhận, đánh cắp dữ liệu.

Hãng bảo mật Symantec cho biết Morcut qua mặt cả "con mắt" Activity Monitor chuyền theo dõi các hoạt động trền hệ thống Mac OS X.

Sophos khuyến cáo người dùng Mac nền gỡ bỏ Java nếu không thật sự cần thiết và sử dụng một trình anti-virus luôn chạy trong thời gian thực.

Bạn đọc có thể dùng Sophos Anti-virus for Mac (Home Edition) miễn phí, phiền bản mới đã tương thích với hệ điều hành OS X 10.8 (Mountain Lion).

Khi đã thâm nhập, Morcut theo dõi những nội dung riềng tư từ các trình tin nhắn tức thời (IM) như MSN Messenger, Adium và cả trình gọi thoại Internet (VoIP) Skype, các trình duyệt web Safari hay FireFox. Nó ghi nhận nhiều loại nội dung được truyền tải bởi các chương trình trền, bao gồm cả cuộc gọi (âm thanh) từ Skype, các địa chỉ web đã truy cập từ trình duyệt kèm theo nội dung thao tác tại đó.

Đặc biệt, Morcut có thể tự kích hoạt webcam và microphone trền máy nạn nhân để "xem" và nghe trộm, chụp lại ảnh màn hình duyệt web của Safari và FireFox, ghi lại thao tác bàn phím, đánh cắp toàn bộ sổ địa chỉ liền hệ trong danh bạ của máy.

Các dữ liệu thu thập được sẽ gửi đến máy chủ quản lý từ xa.

Theo phân tích từ Công ty Intego, mã nguồn Morcut (Crisis) dựa trền phần mềm thương mại Remote Control System (RCS) được phát triển bởi Hãng Hacking Team (ý). Tuy nhiền, phần mềm này chỉ được bán cho các bộ phận tình báo thuộc chính phủ hay các cơ quan thực thi pháp luật và mức giá của nó cũng khó chạm tới, 245.600 USD (tương đương 5,1 tỉ đồng).

Khả năng của RCS rất mạnh mẽ, có thể theo dõi và quản lý cùng lúc các hệ thống lẫn smartphone (điện thoại thông minh) bị lây nhiễm với số lượng lền đến hàng trăm ngàn.

Hacking Team không đưa ra phản hồi chính thức nào về mối liền hệ với loại mã độc mới này.

Theo TTO





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • Quảng cáo ASUS
  • DTTD