Cài phần mềm lậu trên MacOS, người dùng bị 'khuyến mại' mã độc đào tiền số

Người dùng hệ điều hành MacOS thường tự tin về khả năng miễn nhiễm phần mềm độc hại trên các thiết bị của mình, thế nhưng chính điều đó lại đang bị khai thác để phát tán mã độc thông qua các ứng dụng hợp lệ nhằm khai thác tiền số trên các máy tính của nạn nhân.

Jamf Threat Labs, hãng bảo mật chuyên về các sản phẩm Apple, mới đây đã phát đi cảnh báo sau khi phát hiện ra một phiên bản bị chỉnh sửa trái phép của Final Cut Pro, phần mềm chỉnh sửa video nổi tiếng của Apple, chứa chương trình khai thác tiền số XMRig.

Các nhà nghiên cứu của Jamf, bao gồm Matt Benyo, Ferdous Salijooki và Jason Bradley, cho biết trong báo cáo: "Malware này sử dụng giao thức Invisible Internet Project (i2p) … để tải xuống các thành phần độc hại và gửi tiền số khai thác được tới ví điện tử của kẻ tấn công."

Trước đó một cuộc tấn công tương tự như vậy từng được hãng bảo mật Trend Micro báo cáo cách đây đúng một năm trước. Cũng giống như trường hợp nói trên, malware được phát hiện trước đây cũng sử dụng i2p để che giấu hoạt động trong mạng lưới và được Trend Micro dự đoán rằng nó có thể được phân phối dưới dạng file DMG cho chương trình Adobe Photoshop CC 2019.

Hãng Jamf cho biết, nguồn gốc của các ứng dụng chứa mã độc khai thác tiền số này có thể được tìm thấy trên trang Pirate Bay, với những phiên bản đầu tiên được tải lên từ năm 2019. Dựa vào kết quả tìm kiếm trên Pirate Bay, có thể thấy malware này có đến 3 phiên bản khác nhau xuất hiện vào tháng 8 năm 2019, tháng 4 năm 2021 và tháng 10 năm 2021. Các mốc thời gian này cũng cho thấy sự tiến hóa ngày càng tinh vi và mức độ che giấu của loại hình tấn công này.

Một ví dụ cho thấy khả năng che giấu là tập lệnh shell nhằm giám sát danh sách các tiến trình đang chạy và kiểm tra xem có sự hiện diện của chương trình Activity Monitor – chương trình quản lý hệ thống trên MacOS – hay không, nếu có, tiến trình khai thác tiền số sẽ bị tắt để tránh sự phát hiện của hệ thống.

Tiến trình khai thác tiền số độc hại này dựa trên việc người dùng khởi động phần mềm vi phạm bản quyền, sau đó mã độc nhúng trong tệp thực thi kết nối với một máy chủ do kẻ tấn công kiểm soát thông qua i2p để tải xuống thành phần của chương trình XMRig.

Sự kết hợp giữa khả năng ẩn nấp tránh bị phát hiện cùng với thực tế rằng những người sử dụng phần mềm lậu thường sẽ sẵn sàng làm điều gì đó bất hợp pháp, dẫn đến việc mã độc này được phát tán hiệu quả trong suốt nhiều năm nay.

Tuy nhiên, Apple cũng nỗ lực ngăn chặn việc sử dụng phần mềm lậu trong phiên bản MacOS Ventura bằng cách bắt buộc các ứng dụng phải đăng ký thông qua phần mềm Gatekeeper, vì vậy có thể ngăn các ứng dụng giả mạo khởi chạy.

Tuy nhiên, các nhà nghiên cứu của Jamf cũng cho biết: "Mặt khác MacOS Ventura cũng không ngăn được các nhà khai thác chạy file thực thi. Vào thời điểm người dùng nhận được thông báo lỗi thì malware đó cũng đã được cài đặt rồi."

"Dù sao đi nữa, nó cũng ngăn được việc khởi chạy Final Cut Pro phiên bản bị chỉnh sửa, do vậy có thể gây nghi ngờ cho người dùng cũng như làm giảm đáng kể khả năng người dùng tiếp tục khởi chạy ứng dụng."

Tham khảo The Hacker News