Phát hiện nhóm tin tặc Trung Quốc phát triển virus máy tính nguy hiểm nhắm vào macOS
Các nhà nghiên cứu vừa phát hiện ra một loại virus macOS chưa từng được biết đến trước đây. Nó được đặt tên là GIMMICK và là sản phẩm của nhóm hacker gián điệp mạng Storm Cloud tới từ Trung Quốc.
Các nhà nghiên cứu bảo mật tại hãng Veloxity đã phát hiện ra GIMMICK. Họ lấy nó từ RAM của một chiếc MacBook Pro chạy macOS 11.6 bị xâm nhập trong một chiến dịch gián điệp mạng cuối năm 2021.
Rất khó để có cơ hội tiếp xúc với một virus tùy chỉnh được sử dụng bởi những nhóm hacker trình độ cao. Lý do là vì chúng hoạt động rất cẩn thận, ít để lại dấu vết và xóa sạch các mã độc để giữ bí mật cho các công cụ của chúng và tránh sự phát hiện dựa trên IoC.
Tuy nhiên, đôi khi ngay cả những hacker khét tiếng nhất cũng gặp sai lầm và bỏ quên virus lại tạo cơ hội cho các nhà nghiên cứu tiến hành phân tích. Trường hợp của GIMMICK là như vậy.
GIMMICK là một virus đa nền tảng được viết bằng Objective C (macOS) hoặc .NET và Delphi (Windows).
Tất cả các biến thể của GIMMICK đều sử dụng chung kiến trúc C2, đường dẫn tệp, hành vi mẫu và lạm dụng nhiều dịch vụ của Google Drive. Vì thế, mặc dù có khác biệt về code nhưng tất cả các biến thể GIMMICK đều được theo dõi dưới dạng một virus duy nhất.
Trên hệ thống, GIMMICK được khởi chạy trực tiếp bởi người dùng hoặc dưới dạng daemon. Sau đó, nó tự cài đặt dưới dạng tệp nhị phân có tên "PLIST", thường bắt chước một ứng dụng được sử dụng nhiều trên máy của nạn nhân.
Tiếp theo, virus khởi chạy bằng cách thực hiện một số bước giải mã dữ liệu và cuối cùng thiết lập một phiên kết nối với Google Drive, sử dụng thông tin đăng nhập OAuth2 được mã hóa cứng.
Sau khi khởi tạo, GIMMICK tải ba thành phần mã độc có tên là DriveManager, FileManager và GCDTimerManager. Trong đó, DriveManager thực hiện các nhiệm vụ dưới đây:
Quản lý các phiên Google Drive và proxy.
Duy trì bản đồ cục bộ của hệ thống phân cấp thư mục Google Drive trong bộ nhớ.
Quản lý khóa để đồng bộ các tác vụ trên phiên Google Drive.
Xử lý các tác vụ tải xuống và tải lên đến và đi từ phiên Google Drive.
Mỗi UUID phần cứng của máy tính bị nhiễm sẽ được dùng làm mã nhận dạng cho thư mục Google Drive tương ứng với nó.
Trong khi đó, FileManager quản lý thư mục cục bộ nơi lưu trữ thông tin C2 và các tác vụ lệnh và GCDTimerManager đảm nhận việc quản lý các đối tượng GCD khác nhau.
Các lệnh được hỗ trợ bởi GIMMICK, được gửi đến hệ thống dưới dạng mã hóa AES, được liệt kê dưới đây:
Truyền thông tin hệ thống cơ sở.
Tải tệp lên C2.
Tải tệp xuống máy khách.
Thực thi một lệnh shell và ghi đầu ra vào C2.
Đặt khoảng thời gian hẹn giờ trên Google Drive trên máy khách.
Ghi đè thông tin thời gian làm việc trên máy khách.
Thiết kế kiểu không đồng bộ đã khiến GIMMICK trở nên mạnh mẽ và phức tạp. Việc đưa virus này lên macOS cũng là một kỳ tích cho thấy sức mạnh về kỹ năng và tài nguyên của Storm Cloud.
Volexity không loại trừ khả năng Storm Cloud mua mã độc từ một đơn vị phát triển khác và sử dụng nó độc quyền.
Để chống lại GIMMICK, Apple khuyên người dùng nên cập nhật macOS thường xuyên. Điều này sẽ giúp bạn được tiếp cận với các bản vá lỗi mới nhất và những chữ ký số mới nhất. Hơn nữa, hãy đảm bảo rằng XProtect và MRT đã được bật và hoạt động ổn định trên hệ thống.
Theo TheHackernews
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Khi chuỗi cung ứng bị tấn công: Tác động và bài họ...
- Tuần lễ An ninh mạng Châu Á - Thái Bình Dương 2024...
- Kaspersky nêu bật những thách thức của AI trong th...
- Bối cảnh mối đe dọa an ninh mạng: Những mối đe dọa...
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- NTS trao 150 quà tặng cho các em học sinh vượt khó...