Cảnh báo mã độc OSX/MaMi mới tấn công MacOS của Apple

Một nhà nghiên cứu bảo mật đã tiết lộ thông tin chi tiết về một phần mềm độc hại không thể dò tìm được đang nhắm mục tiêu tấn công các máy tính Mac của Apple. Đây có thể xem là mã độc tấn công macOS đầu tiên của năm 2018.

Mã độc được đặt tên là OSX/MaMi, một tệp thực thi Mach-O 64-bit chưa được xác nhận, mã độc có phần tương tự như mã độc DNSChanger trước đó đã lây nhiễm cho hàng triệu máy tính trên toàn thế giới vào năm 2012.

Mã độc DNSChanger sẽ thay đổi thiết lập máy chủ DNS trên các máy tính bị lây nhiễm, cho phép kẻ tấn công định hướng truy cập internet thông qua các máy chủ độc hại và can thiệp để đánh cắp các thông tin nhạy cảm của nạn nhân.

Lần đầu tiên xuất hiện trên diễn đàn Malwarebytes, một người dùng đã đăng lên một truy vấn về  phần mềm độc hại chưa được biết tên đã lây nhiễm cho máy tính của bạn bè anh ta bằng cách ngầm thay đổi cài đặt DNS trên máy macOS bị nhiễm đến các địa chỉ 82.163.143.135 và 82.163.142.137.

Sau khi đọc bài viết, một cựu hacker của NSA là ông Patrick Wardle đã phân tích mã độc và phát hiện nó đích thị là một DNS Hijacker, nó cũng ảnh hưởng các công cụ bảo mật để cài đặt một chứng chỉ root mới nhằm nỗ lực can thiệp vào các giao tiếp đã được mã hóa.

Bên cạnh đó, mã độc OSX/MaMi trên macOS, ở trạng thái ban đầu cũng có thêm những khả năng được đề cập dưới đây, hầu hết trong số đó đều không được kích hoạt trong phiên bản 1.1.0:

Chụp màn hình

Tạo các thao tác chuột ảo

Có thể hiển thị tồn tại dưới dạng một tập tin khởi chạy

Download và Upload các tập tin

Thực thi các lệnh

Hiện vẫn chưa rõ động cơ của tác giả viết nên mã độc này cũng như cách hắn sẽ phát tán mã độc này như thế nào.

Tuy nhiên, Patrick tin rằng kẻ tấn công sẽ sử dụng những phương thức thông dụng như email độc hại, các pop up quảng cáo giả mạo phần mềm bảo mật, trò chơi hoặc tấn công qua mạng xã hội để hướng mục tiêu chính là người dùng máy Mac.

Để kiểm tra xem máy Mac của bạn có đang bị nhiễm phần mềm độc hại MaMi hay không, hãy mở ứng dụng System Preference để kiểm tra thiết lập DNS của bạn, đặc biệt là tìm hai dòng số : 82.163.143.135 và 82.163.142.137.

Theo VirusTotal thì để phòng tránh mã độc này, người dùng nên sử dụng một công cụ của bên thứ ba có thể tạo tường lửa nhằm phát hiện và ngăn chặn lưu lượng truy cập mạng độc hại. Ngoài ra, bạn cũng có thể cài đặt tường lửa mã nguồn mở miễn phí cho macOS có tên LuLu được tạo ra bởi Patrick và có sẵn tại GitHub, ngăn chặn các lưu lượng đáng ngờ và ngăn ngừa việc OSX / MaMi không ăn cắp dữ liệu của bạn.

Minh Hương