Phần mềm mã độc của các hacker Bắc Triều Tiên đang nhắm mục tiêu đến máy MacOS

Đội ngũ nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) đã phát hiện ra một loại phần mềm mã độc mới dưới dạng một ứng dụng giao dịch hợp pháp nhưng có khả năng phá hoại và không thể bị phát hiện sau khi lây nhiễm vào máy chủ.

phan-mem-doc-hai-tien-dien-tu-cua-cac-hacker-bac-trieu-tien-dang-nham-muc-tieu-den-may-macos-4

Các thủ phạm được cho là thuộc nhóm Lazarus, một nhóm hacker bị cáo buộc ủng hộ bởi chính phủ Bắc Triều Tiên, biết đến với các cuộc tấn công vào các mục tiêu tài chính.

Lazarus Group Malware nhắm mục tiêu MacOS

Theo GReAT, phần mềm mã độc mới này được xây dựng dành riêng cho macOS và nó nhắm vào các sàn giao dich. Đáng chú ý, đây dường như là lần đầu tiên nhóm Lazarus thiết kế một phần mềm mã độc hoạt động trên hệ sinh thái macOS, có thể được giải thích như một dấu hiệu cho thấy nhóm hiện đang chuyển sang một phạm vi rộng hơn trên các nền tảng khác nhau.

GreAT cũng tin rằng có một phiên bản trên nền tảng Linux, trên macOS được gọi là AppleJeus, có nghĩa là nhóm đang xây dựng các biến thể khác nhau của phần mềm mã độc cho các hệ điều hành khác nhau với hy vọng nó sẽ can thiệp vào hệ điều hành với các mục tiêu chưa được báo trước.

Các nhà nghiên cứu lưu ý rằng điều này nên được cành báo đến tất cả các nền tảng không phải Windows – có thể là macOS, Linux, hoặc bất kỳ hệ điều hành nào khác.

Phần mềm mã độc xuất phát từ nhà sản xuất ứng dụng đã được xác minh

Khía cạnh đáng lo ngại nhất về AppleJeus là nó bám trên ứng dụng giao dịch tiền mã hoá hợp pháp được gọi là Celas Trade Pro. Nhà sản xuất ứng dụng có chứng chỉ kỹ thuật số hợp lệ và hồ sơ đăng ký tên miền có vẻ là hợp pháp.

Tuy nhiên, khi nghiên cứu sâu hơn, các nhà nghiên cứu Kaspersky thấy rằng địa chỉ kinh doanh được đề cập trên giấy chứng nhận kỹ thuật số là không có thật.

Không nghi ngờ gì nữa, phát hiện này làm rộ lên mối lo lắng từ các ứng dụng, kể cả các ứng dụng có  chứng chỉ kỹ thuật số hợp lệ.

Hoạt động của AppleJeus lây nhiễm như thế nào?

GreAT đã phát hiện ra AppleJeus trong quá trình điều tra vi phạm trong một cuộc giao dịch tiền mã hoá. Sau khi phân tích sâu hơn, họ đã có thể tìm ra cách thức hoạt động của mã độc này.

Phần mềm mã độc AppleJeus đã xuất hiện trên ứng dụng giao dịch crypto hợp pháp Celas Trade Pro. Sau khi người dùng tải xuống và cài đặt ứng dụng dành cho macOS, nó sẽ giải phóng mô-đun “tự động cập nhật” ẩn trong ứng dụng.

Trong ứng dụng chuẩn, trình cập nhật tự động được thiết kế để tìm và cài đặt các phiên bản mới hơn của ứng dụng mà không cần sự chấp nhận từ người dùng. Tương tự trong trường hợp của Celas Trade Pro, trình cập nhật tự động bắt đầu thu thập thông tin về máy chủ ngay sau khi kích hoạt. Sau đó nó gửi tất cả thông tin thu thập được từ máy chủ bị nhiễm hiện tại đến máy chủ điều khiển và ra lệnh (C & C) để các hacker có thể phân tích dữ liệu. Nếu máy tính bị nhiễm thật sự có giá tri, hacker sẽ hướng dẫn ứng dụng cài đặt một bản cập nhật khác – một Trojan – có tên FallChill.

Sau khi cài đặt, trojan FallChill tạo điều kiện truy cập từ xa vô hạn đến máy bị nhiễm, từ đó hacker có thể ăn cắp dữ liệu tài chính hoặc bất kỳ dữ liệu nào họ muốn.

Dịch và chỉnh sửa theo nguồn: btcmanager.com

Đánh giá

Để lại ý kiến của bạn:

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *