[Update] Mã độc trên OS X sử dụng Reddit để lấy IP server điều khiển

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
[Update] Mã độc trên OS X sử dụng Reddit để lấy IP server điều khiển
Một loại mã độc trên Mac mới được phát hiện, sử dụng dịch vụ tìm kiếm của reddit.com để truy cập danh sách server điều khiển (C&C server).

1490893087Mac_malware.jpg

Thông tin về các địa chỉ IP và cổng kết nối được tội phạm mạng đưa vào phần comment trên trang Reddit. Sau khi lây nhiễm máy tính, malware chạy một yêu cầu tìm kiếm trên website. Yêu cầu này được che giấu rất kỹ và bao gồm các giá trị thập lục phân của 8 byte đầu tiên từ hàm băm MD5 tại thời điểm hiện tại.

Trong khi nghiên cứu về các mối đe dọa mới trên thiết bị sử dụng hệ điều hành OS X, các chuyên gia của hãng an ninh mạng Nga Doctor Web đã phát hiện dấu hiệu hình thành của một mạng botnet mới. Malware được Doctor Web đặt tên là Mac.BackDoor.iWorm. Dữ liệu thống kê của hãng cho thấy iWorm lây nhiễm trên nhiều hệ thống, và có hơn 17.000 địa chỉ IP khác nhau kết nối tới các hệ thống này.

Trong đó, quốc gia bị lây nhiễm malware nhiều nhất là Mỹ với hơn 4.500 (26,1%) máy tính bị xâm nhập. Canada và Anh có mức độ lây nhiễm tương đương với khoảng 1.230 địa chỉ IP từ các máy bị nhiễm.

Các chuyên gia cho biết tin tặc sử dụng C++ và Lua để viết và bổ sung khả năng mã hóa cho malware.

Các IP của server điều khiển C&C có vẻ được đăng tải lên Reddit bởi tài khoản “vtnhiaovyd” trong bài “danh sách máy chủ Minescraft” (minescraftserverlists) nhằm xóa bỏ hoài nghi về việc các địa chỉ này được dùng cho mục đích xấu.

Sau khi thiết lập liên lạc với server điều khiển, malware chạy một đoạn mã xác thực. Chỉ khi máy chủ điều khiển từ xa được xác nhận, dữ liệu về máy tính bị xâm nhập mới được gửi đi.

iWorm sử dụng script Lua để lấy các thông số về loại hệ điều hành, phiên bản của iWorm, và UID, tải các file, tạo socket mở kết nối tới server điều khiển và thực thi các lệnh nhận được, cấm các nút mạng bằng IP, thực thi lệnh hệ thống hoặc script Lua ngầm.

Với khả năng tải và thực thi các tập tin và chỉ thị lệnh (command), iWorm có thể tạo điều kiện cho một loạt các hình thức tấn công, từ lấy cắp thông tin trên hệ thống, gửi spam đến tham gia vào tấn công DDoS.

Malware trên OS X không phải hiếm và botnet trên Mac đã từng được phát hiện trước đây. Vụ việc đình đám với malware Flashback, tấn công hơn 600.000 máy tính Mac vào năm 2012 là một ví dụ.

Đầu năm 2014, hãng Intego cũng thông báo về Trojan tạo các bot xâm nhập hơn 22.000 máy tính.

Nguồn: Softpedia
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Mã độc trên OS X sử dụng Reddit để lấy IP server điều khiển

Update ngày 07/10/2014: Cuối tuần trước, Apple đã cập nhật mẫu nhận diện Mac.BackDoor.iWorm cho hệ thống chống mã độc Xprotect của mình, nhằm ngăn chặn malware này được cài trên hệ thống của người dùng.

XProtect là một hệ thống chống mã độc “thô sơ” được ra mắt lần đầu tiên vào năm 2011 cho hệ điều hành OS X Snow Leopard. Do không có nhiều mã độc nhắm vào OS X, nên đến thời điểm hiện tại XProtect chỉ có tổng cộng 40 mẫu nhận diện. XProtect không loại bỏ những mã độc đã lây nhiễm, mà chỉ có khả năng ngăn chặn lây nhiễm mới bằng cách cảnh báo người dùng về một mã độc đã được biết đến đang cố gắng xâm nhập vào hệ thống của họ.

Theo Ars Technica, Mac Rumors
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên