Giả mạo file cài đặt Adobe, vượt qua toàn bộ hệ thống phòng thủ, mã độc "Snake" đã xâm nhập thành công macOS

Có lẽ phần lớn cộng đồng công nghệ đều đang nhận thấy dấu hiệu rằng macOS đang trở nên "nhạy cảm" với các loại mã độc malware giống với Windows hơn bao giờ hết, không còn bỏ xa Windows về mức độ và tần suất bị xâm nhập thấp như xưa nữa. Cụ thể, chính những trường hợp được ghi nhận gần nhất lại chỉ ra rằng nguồn gốc của những mã độc đó đến từ chính nền tảng Windows phổ biến.

Một phát hiện gần đây đã chỉ ra một hình thức tấn công đa nền tảng mới ở dạng bộ cài đặt Adobe Flash Player giả mạo có khả năng vượt qua hệ thống phòng thủ Gatekeeper của macOS Lion. Theo blog Fox-IT đưa tin, với tên gọi được gán cho là "Snake", malware này sẽ xâm nhập và tạo ra một file backdoor ngầm bên trong nền tảng hệ thống macOS, củng cố chúng và dần dần sử dụng để truy cập và truyền dẫn những dữ liệu nhạy cảm ra ngoài.

Được biết, Gatekeeper vốn dùng một quy trình kiểm định hệ thống để phân biệt và thống kê các ứng dụng có được cài đặt từ Mac App Store chính thức hay những app khác có nguồn gốc từ bên ngoài. Nếu một chương trình được gắn mác kiểm chứng thành công bởi Gatekeeper, sẽ không có gì đáng nói và người dùng hoàn toàn có thể tin dùng chúng. Nhưng Snake lại tận dụng một mã chứng nhận có hiệu lực - nhiều khả năng là sao chép và ăn cắp từ một nguồn lập trình được tin dùng khác - để qua mặt quy trình kiểm tra này.

Cũng theo Fox-IT, Snale có thể có mối quan hệ mật thiết với các hacker người Nga và được dùng vào những mục đích tấn công cơ sở quân sự, chính phủ hay công ty lớn. Nó đã xuất hiện trên Windows từ vài năm nay, với phiên bản tương tự dần lây lan trên Linux vào năm 2014. Giờ đây, nạn nhân tiếp theo lại là macOS, với phương thức của Snake "ngày càng trở nên tinh vi, phức tạp và biến hóa khôn lường hơn."

Thú vị là Snake đúng thật sẽ cài đặt Adobe Flash Player, nhưng trong lúc đó nó sẽ cài mã backdoor vào hệ thống nhờ dịch vụ LaunchDaemon của Apple. FIle cài đặt gốc giả mạo đó có dạng zip với tên "Adobe Flash Player.app.zip" và hoàn toàn có thể lừa người dùng rằng chúng đáng tin để truy cập.

Fox-IT có thông báo đến Apple về vụ việc và tình trạng đáng suy xét này và chắc chắn đội ngũ bảo mật an ninh của Apple sẽ phải làm việc gấp rút nhằm tìm kiếm giải pháp sớm hiệu quả nhất để cải thiện chất lượng bảo mật Gatekeeper. Điều này đồng nghĩa với việc Snake sẽ khó khăn hơn khi tìm cách lây lan trên máy tính chạy hệ điều hành macOS và tất nhiên là cách thức đóng giả làm ứng dụng Mac App Store chính thức cũng sẽ bị vô hiệu hóa.

Trên hết, Snake cũng gióng lên hồi chuông cảnh tỉnh cho việc người dùng macOS nên có một cái nhìn cảnh giác và thận trọng giống như những người dùng ở nền tảng khác, bằng cách luôn giữ Gatekeeper kích hoạt bảo vệ máy tính, chỉ cài đặt ứng dụng có nguồn gốc rõ ràng chính đáng và sử dụng thêm trình an ninh chống mã độc như một biện pháp an toàn nữa nhằm tối ưu hóa hiệu quả. Apple thường có xu hướng lấy Windows làm trò đùa về những lỗ hổng bảo mật, nhưng xem ra không có ai là hoàn hảo ở lĩnh vực này nữa rồi.

Tham khảo: DigitalTrends