Hơn 30.000 MacBook ở 153 quốc gia bị phần mềm độc hại 'nhắm tới'

Sau khi ra mắt không lâu, dòng MacBook sử dụng chip M1 của Apple đã bị tin tặc tấn công với mã độc bí ẩn chưa có cách khắc phục triệt để.  

Không chỉ tấn công hàng loạt máy MacBook, Silver Sparrow (tên gọi của phần mềm độc hại mới) còn phát tán và che giấu các hành động gần như khiến các chuyên gia an ninh mạng mất cảnh giác. Hơn nữa, họ không những không kiểm soát được đường truyền của “chim sẻ bạc” mà vẫn không biết mục đích cuối cùng của nó.

Hơn 30.000 MacBook ở 153 quốc gia bị phần mềm độc hại 'nhắm tới'

Nói cách khác, nó không chỉ có thể "thổi bay" dữ liệu bất cứ lúc nào mà còn có thể tự xóa mình xóa dấu vết sau khi "phạm tội".

Quả bom "nổ tung" bất cứ lúc nào

Có gì độc đáo về loại phần mềm độc hại mới được gọi là "chim sẻ bạc" này? Trước hết, đây là một phần mềm độc hại được viết bằng Java, rất hiếm đối với MacOS. Ngoài ra, nó cũng cập nhật một phiên bản phần mềm dành riêng cho M1. Trong số hai phiên bản hiện tại của phần mềm, một phiên bản dành cho các thiết bị Mac dòng Intel và phiên bản còn lại dành cho các thiết bị Mac dựa trên M1 trở lên.

Phần mềm này có tốc độ lây lan cao, độ phủ rộng, khả năng tương thích mạnh mẽ với M1, kết quả hoạt động tốt, điều quan trọng nhất là các chuyên gia vẫn chưa khám phá ra cách thức lây lan của nó. Các chuyên gia nhận thấy rằng cơ sở hạ tầng của Silver Sparrow được lưu trữ trên Amazon Web Services s3, đây là tài nguyên đám mây mà hầu hết các công ty đang sử dụng.

Điều đáng sợ ở Silver Sparrow là các nhà nghiên cứu bảo mật đã phát hiện ra rằng nó vẫn đang trong thời kỳ ngủ yên (chưa phát hiện ra trọng tải của nó). Hơn nữa, "Silver Sparrow" còn có chương trình "tự hủy", có thể tự xóa mình sau khi thực tế mà không để lại bất kỳ dấu vết nào. Phần mềm độc hại này chỉ gửi một thông báo đến máy chủ mỗi giờ mà không có bất kỳ hành động lớn nào, nhưng một khi các điều kiện kích hoạt được đáp ứng, nó sẽ gây ra hậu quả nghiêm trọng.

Cách kiểm tra máy Mac

Cho đến nay, các nhà nghiên cứu vẫn chưa biết công dụng của vector tấn công (Attack the Vector) "chim bạc" là gì . Vector tấn công đề cập đến một đường dẫn hoặc phương tiện mà qua đó tin tặc có thể truy cập vào máy tính hoặc máy chủ mạng để cung cấp tải trọng hoặc kết quả độc hại.

Vector tấn công đề cập đến một đường dẫn hoặc phương tiện mà qua đó tin tặc có thể truy cập vào máy tính hoặc máy chủ mạng để cung cấp tải trọng hoặc kết quả độc hại. Do đó, không rõ "con chim bạc" nhắm mục tiêu gì mà chỉ có thể suy đoán rằng nó có thể là một phần mềm quảng cáo độc hại. Tuy nhiên, họ phát hiện ra rằng Silver Sparrow tạo ra một tệp plist trong thư mục Library/LaunchAgent. Nói cách khác, chỉ cần bạn nhìn thấy tệp này, máy tính của bạn đã bị nhiễm virus.

 

Để tạm thời phòng chống phần mềm độc hại này. Đầu tiên, hãy cập nhật hệ điều hành, trình duyệt và phần mềm khác. Ngoài ra, bạn có thể cài đặt uBlock Origin, một tiện ích mở rộng lọc nội dung trình duyệt và trình chặn quảng cáo như AdGuard Home. Thứ hai, cài đặt tường lửa, cư dân mạng này đã đề xuất Little Snitch, có thể được sử dụng để giám sát các ứng dụng nhằm ngăn chặn hoặc cho phép chúng kết nối với mạng thông qua các quy tắc nâng cao. Cuối cùng, không cài đặt phần mềm không rõ nguồn gốc.

Thật trùng hợp. Silver Sparrow không phải là phần mềm độc hại đầu tiên nhắm vào máy Mac dòng M1. Trên thực tế, chỉ một tuần trước, ai đó đã phát hiện ra một phần mềm độc hại khác GoSearch22 nhắm mục tiêu vào M1. Đây là "phiên bản nâng cấp" của phần mềm quảng cáo độc hại Pirrit, với những sửa đổi tương ứng đối với kiến ​​trúc ARM64 mà M1 mang theo. GoSearch22 có thể tiếp tục tấn công các thiết bị Mac và người dùng thông thường rất khó xóa nó.

Nó sẽ tự ẩn mình dưới dạng “tiện ích mở rộng trình duyệt”, thu thập dữ liệu từ Safari, Chrome và các trình duyệt Mac khác, sau đó buộc hiển thị phiếu giảm giá, biểu ngữ quảng cáo và cửa sổ bật lên độc hại. Các nhà nghiên cứu suy đoán rằng mục đích của GoSearch22 là thu lợi nhuận từ các quảng cáo và kết quả tìm kiếm của người dùng, ngoài ra, nhiều tính năng độc hại có thể sẽ được phát triển trong tương lai.

Hiện tại, Apple đã thu hồi chứng chỉ nhà phát triển được sử dụng bởi các nhà phát triển Pirrit. Nhưng những phần mềm độc hại này lần lượt xuất hiện, buộc bộ máy diệt virus phải nâng cấp.

Phần mềm chống virus cần được nâng cấp khẩn cấp

Mới tuần trước, các chuyên gia đã sử dụng GoSearch22 để kiểm tra hàng loạt công cụ chống virus. Họ phát hiện ra rằng gần 15% công cụ chống virus không phát hiện được sự tồn tại của GoSearch22, nhưng về cơ bản chúng có thể phát hiện ra phiên bản trước của Pirrit.

Nói cách khác, công cụ chống virus hiện tại vẫn đang bảo vệ nền tảng x86_64, nhưng không có phần mềm độc hại nào được viết dựa trên kiến ​​trúc ARM. Điều này có nghĩa là các công cụ phân tích virus này hoặc công cụ chống virus được viết cho nền tảng x86_64 có thể không xử lý được các tệp nhị phân ARM64.

Do đó, khả năng phát hiện những phần mềm độc hại này được viết cho kiến ​​trúc ARM (Silver sparrow, GoSearch22, v.v.) đã trở thành một tiêu chuẩn mới để đánh giá phần mềm chống virus.

Phong Vũ

Nhóm hack tài khoản Facebook đang nhắm vào Đông Nam Á

Nhóm hack tài khoản Facebook đang nhắm vào Đông Nam Á

Nhóm lừa đảo tìm cách lấy mật khẩu tài khoản Facebook, dùng tiền của nạn nhân để chạy quảng cáo.

Chủ đề : macbookmã độc
 
List comment
 
Làm gì khi phát hiện dữ liệu cá nhân bị rao bán?
icon

Nếu dữ liệu cá nhân của bạn bị rò rỉ và rao bán, cần hành động thật nhanh để tránh thiệt hại.

 
Nhật hạn chế dùng công nghệ ngoại trong mạng viễn thông
icon

Chính phủ Nhật Bản sẽ giới thiệu quy định mới cho 14 lĩnh vực hạ tầng quan trọng để củng cố năng lực quốc phòng mạng.  

 
Chuyện về ‘ông tổ’ mã độc tống tiền
icon

Vụ tấn công mã độc tống tiền đầu tiên trên thế giới được ghi nhận vào năm 1989, thủ phạm là một nhà sinh vật học.

 
Ba hệ lụy với các nạn nhân của vụ lộ thông tin 10.000 người Việt
icon

Theo Viettel Cyber Security, bên cạnh rủi ro về pháp lý, tài chính và nguy cơ bị hacker tấn công từ việc lợi dụng thông tin bị lộ, các nạn nhân của vụ việc này còn bị tổn hại về quyền riêng tư cả hiện tại và lâu dài.

 
Phát hiện lỗ hổng bảo mật ảnh hưởng tới tất cả thiết bị hỗ trợ Wi-Fi từ năm 1997 đến nay
icon

Một loạt lỗ hổng mới đã được phát hiện trong tiêu chuẩn Wi-Fi và nó dường như ảnh hưởng đến các thiết bị hỗ trợ Wi-Fi từ năm 1997 trở lại đây.

 
 
Hacker xóa dấu vết, gỡ dữ liệu công dân người Việt Nam
icon

Đây đều là các dữ liệu nhạy cảm như tên, ngày sinh, ảnh đại diện, địa chỉ, email, số điện thoại, số và ảnh chứng minh thư nhân dân từng bị hacker rao bán.   

Vụ dữ liệu cá nhân rao bán giá 200 triệu, chuyên gia nói gì?
icon

Các dữ liệu như  tên, ngày sinh, ảnh đại diện, địa chỉ, email, số điện thoại, ảnh căn cước công dân của nhiều người Việt Nam đang bị hacker rao bán. Những thông tin này có thể dùng để thực hiện hành vi lừa đảo, quảng cáo.  

Bkav: Vụ lộ thông tin 10.000 người Việt không liên quan đến dữ liệu dân cư
icon

Trước nghi ngại dữ liệu cá nhân của nhiều người Việt bị rao bán trên diễn đàn R***forums có thể rò rỉ từ thông tin khi làm căn cước công dân, chuyên gia Bkav nhận định vụ việc không liên quan đến cơ sở dữ liệu quốc gia dân cư.

Thêm một lỗ hổng bảo mật nguy hiểm được chuyên gia Việt Nam phát hiện
icon

Ngoài lỗ hổng CVE-2021-31180 trong Microsoft Office mới được phát hiện, từ đầu năm đến nay, các chuyên gia Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin, Bộ TT&TT còn phát hiện được hơn 30 lỗ hổng bảo mật khác.

Hãng nhiên liệu Mỹ trả 5 triệu USD tiền chuộc cho hacker
icon

Colonial Pipeline phải trả tiền chuộc cho hacker sau khi trở thành nạn nhân của vụ tấn công mạng rúng động.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123