MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Phần mềm độc hại EasyDoc thêm cổng hậu TOR vào máy sử dụng hệ điều hành MAC
[FONT="]Ngày 5/7/2016, Hãng bảo mật BitDefender đã cảnh báo về một ứng dụng độc hại chiếm quyền kiểm soát các máy sử dụng hệ điều hành Mac của tội phạm mạng thông qua TOR (The Onion Router).[/FONT]
Ứng dụng này có tên là EasyDoc Converter.app, được biết đến là một công cụ chuyển đổi tập tin nhưng nó không thực hiện điều đó như bình thường. Thay vào đó nó chèn phần mềm độc hại phức tạp vào trong hệ thống để tìm cách phá vỡ khung an toàn của hệ thống, cho phép nó được sử dụng như là một phần của một botnet hoặc để do thám thông tin của người sở hữu thiết bị.
Theo Tiberius Axinte, lãnh đạo kỹ thuật của Bitdefender Antimalware Lab, đây là loại phần mềm độc hại đặc biệt nguy hiểm vì nó rất khó để phát hiện và có thể giúp các kẻ tấn công kiểm soát toàn bộ hệ thống bị xâm nhập. Ví dụ, kẻ tấn công có thể khóa máy tính xách tay của người dùng, đe dọa người dùng để tống tiền nếu muốn mở khóa, hoặc chuyển đổi máy tính xách tay của người dùng đó thành một botnet để tấn công các thiết bị khác...
Các phần mềm độc hại trong ứng dụng này được đặt tên là Backdoor.MAC.Eleanor. Chúng thiết lập một dịch vụ TOR ẩn và PHP có khả năng chạy như một máy chủ web trên máy tính bị nhiễm, sau đó tạo ra một miền .onion để những kẻ tấn công có thể sử dụng chúng kết nối với máy Mac và kiểm soát nó. Sau khi cài đặt thành công, phần mềm độc hại cho phép kẻ tấn công có đầy đủ quyền truy cập vào các tập tin hệ thống và có thể hoàn toàn điều khiển được thiết bị.
Đồng thời, bộ điều khiển của Eleanor sử dụng các công cụ mã nguồn mở wacaw có thể kiểm soát camera của máy tính bị nhiễm phần mềm độc hại này. Điều đó sẽ cho phép kẻ tấn công có thể theo dõi các nạn nhân, lấy cắp các hình ảnh cá nhân của họ và có thể sử dụng chúng để tống tiền.
Các địa chỉ mà phần mềm độc hại này sử dụng để giao tiếp với bộ điều khiển của nó được lưu trữ trên một tài khoản Pastebin và đã được mã hóa bằng RSA.
Hiện tại người dùng có thể sử dụng công cụ có sẵn BlockBlock để ngăn chặn phần mềm độc hại này. Tuy nhiên, BitDefender cũng khuyến cáo người dùng: "Sử dụng BlockBlock có thể ngăn chặn được việc này, tuy nhiên có thể có những cách khác mà BlockBlock hiện tại chưa được cập nhật để ngăn chặn được". Do đó, tốt nhất người dùng sử dụng hệ điều hành MAC nên tự chủ động bảo vệ thiết bị của mình và cần cẩn thận với phần mềm được cài đặt trên máy tính.
Ứng dụng này có tên là EasyDoc Converter.app, được biết đến là một công cụ chuyển đổi tập tin nhưng nó không thực hiện điều đó như bình thường. Thay vào đó nó chèn phần mềm độc hại phức tạp vào trong hệ thống để tìm cách phá vỡ khung an toàn của hệ thống, cho phép nó được sử dụng như là một phần của một botnet hoặc để do thám thông tin của người sở hữu thiết bị.
Theo Tiberius Axinte, lãnh đạo kỹ thuật của Bitdefender Antimalware Lab, đây là loại phần mềm độc hại đặc biệt nguy hiểm vì nó rất khó để phát hiện và có thể giúp các kẻ tấn công kiểm soát toàn bộ hệ thống bị xâm nhập. Ví dụ, kẻ tấn công có thể khóa máy tính xách tay của người dùng, đe dọa người dùng để tống tiền nếu muốn mở khóa, hoặc chuyển đổi máy tính xách tay của người dùng đó thành một botnet để tấn công các thiết bị khác...
Các phần mềm độc hại trong ứng dụng này được đặt tên là Backdoor.MAC.Eleanor. Chúng thiết lập một dịch vụ TOR ẩn và PHP có khả năng chạy như một máy chủ web trên máy tính bị nhiễm, sau đó tạo ra một miền .onion để những kẻ tấn công có thể sử dụng chúng kết nối với máy Mac và kiểm soát nó. Sau khi cài đặt thành công, phần mềm độc hại cho phép kẻ tấn công có đầy đủ quyền truy cập vào các tập tin hệ thống và có thể hoàn toàn điều khiển được thiết bị.
Đồng thời, bộ điều khiển của Eleanor sử dụng các công cụ mã nguồn mở wacaw có thể kiểm soát camera của máy tính bị nhiễm phần mềm độc hại này. Điều đó sẽ cho phép kẻ tấn công có thể theo dõi các nạn nhân, lấy cắp các hình ảnh cá nhân của họ và có thể sử dụng chúng để tống tiền.
Các địa chỉ mà phần mềm độc hại này sử dụng để giao tiếp với bộ điều khiển của nó được lưu trữ trên một tài khoản Pastebin và đã được mã hóa bằng RSA.
Hiện tại người dùng có thể sử dụng công cụ có sẵn BlockBlock để ngăn chặn phần mềm độc hại này. Tuy nhiên, BitDefender cũng khuyến cáo người dùng: "Sử dụng BlockBlock có thể ngăn chặn được việc này, tuy nhiên có thể có những cách khác mà BlockBlock hiện tại chưa được cập nhật để ngăn chặn được". Do đó, tốt nhất người dùng sử dụng hệ điều hành MAC nên tự chủ động bảo vệ thiết bị của mình và cần cẩn thận với phần mềm được cài đặt trên máy tính.
Nhật Minh (Theo http://www.theregister.co.uk)