Phát hiện nhóm tin tặc Trung Quốc phát triển virus máy tính nguy hiểm nhắm vào macOS

www.tuoitre.vn -   21/03/2022 12:00:00 780

Các nhà nghiên cứu vừa phát hiện ra một loại virus macOS chưa từng được biết đến trước đây. Nó được đặt tên là GIMMICK và là sản phẩm của nhóm hacker gián điệp mạng Storm Cloud tới từ Trung Quốc.

Phát hiện nhóm tin tặc Trung Quốc phát triển virus máy tính nguy hiểm nhắm vào macOS

Các nhà nghiên cứu bảo mật tại hãng Veloxity đã phát hiện ra GIMMICK. Họ lấy nó từ RAM của một chiếc MacBook Pro chạy macOS 11.6 bị xâm nhập trong một chiến dịch gián điệp mạng cuối năm 2021.

Rất khó để có cơ hội tiếp xúc với một virus tùy chỉnh được sử dụng bởi những nhóm hacker trình độ cao. Lý do là vì chúng hoạt động rất cẩn thận, ít để lại dấu vết và xóa sạch các mã độc để giữ bí mật cho các công cụ của chúng và tránh sự phát hiện dựa trên IoC.

Tuy nhiên, đôi khi ngay cả những hacker khét tiếng nhất cũng gặp sai lầm và bỏ quên virus lại tạo cơ hội cho các nhà nghiên cứu tiến hành phân tích. Trường hợp của GIMMICK là như vậy.

GIMMICK là một virus đa nền tảng được viết bằng Objective C (macOS) hoặc .NET và Delphi (Windows).

Tất cả các biến thể của GIMMICK đều sử dụng chung kiến trúc C2, đường dẫn tệp, hành vi mẫu và lạm dụng nhiều dịch vụ của Google Drive. Vì thế, mặc dù có khác biệt về code nhưng tất cả các biến thể GIMMICK đều được theo dõi dưới dạng một virus duy nhất.

Trên hệ thống, GIMMICK được khởi chạy trực tiếp bởi người dùng hoặc dưới dạng daemon. Sau đó, nó tự cài đặt dưới dạng tệp nhị phân có tên "PLIST", thường bắt chước một ứng dụng được sử dụng nhiều trên máy của nạn nhân.

Tiếp theo, virus khởi chạy bằng cách thực hiện một số bước giải mã dữ liệu và cuối cùng thiết lập một phiên kết nối với Google Drive, sử dụng thông tin đăng nhập OAuth2 được mã hóa cứng.

Sau khi khởi tạo, GIMMICK tải ba thành phần mã độc có tên là DriveManager, FileManager và GCDTimerManager. Trong đó, DriveManager thực hiện các nhiệm vụ dưới đây:

Quản lý các phiên Google Drive và proxy.

Duy trì bản đồ cục bộ của hệ thống phân cấp thư mục Google Drive trong bộ nhớ.

Quản lý khóa để đồng bộ các tác vụ trên phiên Google Drive.

Xử lý các tác vụ tải xuống và tải lên đến và đi từ phiên Google Drive.

Mỗi UUID phần cứng của máy tính bị nhiễm sẽ được dùng làm mã nhận dạng cho thư mục Google Drive tương ứng với nó.

Trong khi đó, FileManager quản lý thư mục cục bộ nơi lưu trữ thông tin C2 và các tác vụ lệnh và GCDTimerManager đảm nhận việc quản lý các đối tượng GCD khác nhau.

Phát hiện nhóm tin tặc Trung Quốc phát triển virus máy tính nguy hiểm nhắm vào macOS

Các lệnh được hỗ trợ bởi GIMMICK, được gửi đến hệ thống dưới dạng mã hóa AES, được liệt kê dưới đây:

Truyền thông tin hệ thống cơ sở.

Tải tệp lên C2.

Tải tệp xuống máy khách.

Thực thi một lệnh shell và ghi đầu ra vào C2.

Đặt khoảng thời gian hẹn giờ trên Google Drive trên máy khách.

Ghi đè thông tin thời gian làm việc trên máy khách.

Thiết kế kiểu không đồng bộ đã khiến GIMMICK trở nên mạnh mẽ và phức tạp. Việc đưa virus này lên macOS cũng là một kỳ tích cho thấy sức mạnh về kỹ năng và tài nguyên của Storm Cloud.

Volexity không loại trừ khả năng Storm Cloud mua mã độc từ một đơn vị phát triển khác và sử dụng nó độc quyền.

Để chống lại GIMMICK, Apple khuyên người dùng nên cập nhật macOS thường xuyên. Điều này sẽ giúp bạn được tiếp cận với các bản vá lỗi mới nhất và những chữ ký số mới nhất. Hơn nữa, hãy đảm bảo rằng XProtect và MRT đã được bật và hoạt động ổn định trên hệ thống.

Theo TheHackernews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 39
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 41
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 41
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 37
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 31
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 21
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ