Bài liên quan
Tin tặc đã tích hợp đoạn mã backdoor “5 năm tuổi” vốn được sử dụng trên Windows vào spyware được thiết kế để xâm nhập hệ thống Mac OS X (hệ điều hành do Apple sản xuất).
Các chuyên gia phân tích malware XSLCmd trên OS X phát hiện mẫu thử của malware đã được kiểm tra trên VirusTotal vào ngày 10/8. Tại thời điểm đó, toàn bộ các công cụ quét virus đều không phát hiện được mã độc này.
Hãng FireEye cho biết phần mềm gián điệp tương thích với kiến trúc của PowerPC và CPU 64/68-bit. Ngoài thành phần cài đặt, spyware chứa backdoor thực thi ngay khi tiến trình mẹ được chạy.
“Đoạn mã backdoor được sử dụng để nhắm đến OS X vốn là một backdoor trên Windows đã và đang được sử dụng rộng rãi trong các cuộc tấn công vài năm trở lại đây”, đại diện FireEye cho biết.
Khả năng của backdoor bao gồm việc mở cổng hậu cho phép xem file và chuyển file đến địa chỉ từ xa, hoặc chạy tiến trình tự cập nhật và cài đặt các file thực thi khác.
Tuy nhiên, so với các phiên bản backdoor trên Windows, một tính năng được tăng cường trên backdoor chạy trên OS X cho phép giám sát các máy nạn nhân thông qua theo dõi thao tác bàn phím và màn hình máy tính.
Các chuyên gia cho rằng, backdoor XSLCmd được sử dụng trong các hoạt động tình báo mạng bởi một nhóm tin tặc có tên GREF. Nhóm này đã hoạt động khoảng từ năm 2009. Trong số nạn nhân nhóm tin tặc nhắm tới có cơ sở Công nghiệp Quốc phòng Mỹ cũng như các công ty điện tử và kỹ thuật trên toàn thế giới.
Dưới dạng file thực thi Mach-O, backdoor XSLCmd sao chép chính nó vào "$HOME/Library/LaunchAgents/clipboardd" và tạo một file trong thư mục cho phép kích hoạt ngay khi nạn nhân khởi động lại máy tính.
Trong quá trình cài đặt, malware kiểm tra phiên bản hệ điều hành của hệ thống và có vẻ như các phiên bản cao hơn 10.8 (Mountain Lion) không bị đe dọa bởi mã độc. Điều này có nghĩa tin tặc chỉ nhắm tới những người dùng chạy các phiên bản 10.8 của OS X hay malware được thiết kế riêng cho Mountain Lion.
Việc sử dụng malware trên Windows để nhắm đến các hệ điều hành khác không còn là chiêu thức mới và với sự phổ biến hiện nay của các máy Apple, việc xây dựng spyware thích ứng riêng cho OS X cũng không có gì đáng ngạc nhiên.
Malware XSLCmd không chỉ nguy hiểm mà còn “có tính thích nghi” với khả năng tương thích của toolkit với hệ thống hoạt động mới của máy tính nạn nhân, đồng thời hoạt động ổn định trên máy đã bị lây nhiễm.
Các chuyên gia phân tích malware XSLCmd trên OS X phát hiện mẫu thử của malware đã được kiểm tra trên VirusTotal vào ngày 10/8. Tại thời điểm đó, toàn bộ các công cụ quét virus đều không phát hiện được mã độc này.
Hãng FireEye cho biết phần mềm gián điệp tương thích với kiến trúc của PowerPC và CPU 64/68-bit. Ngoài thành phần cài đặt, spyware chứa backdoor thực thi ngay khi tiến trình mẹ được chạy.
“Đoạn mã backdoor được sử dụng để nhắm đến OS X vốn là một backdoor trên Windows đã và đang được sử dụng rộng rãi trong các cuộc tấn công vài năm trở lại đây”, đại diện FireEye cho biết.
Khả năng của backdoor bao gồm việc mở cổng hậu cho phép xem file và chuyển file đến địa chỉ từ xa, hoặc chạy tiến trình tự cập nhật và cài đặt các file thực thi khác.
Tuy nhiên, so với các phiên bản backdoor trên Windows, một tính năng được tăng cường trên backdoor chạy trên OS X cho phép giám sát các máy nạn nhân thông qua theo dõi thao tác bàn phím và màn hình máy tính.
Các chuyên gia cho rằng, backdoor XSLCmd được sử dụng trong các hoạt động tình báo mạng bởi một nhóm tin tặc có tên GREF. Nhóm này đã hoạt động khoảng từ năm 2009. Trong số nạn nhân nhóm tin tặc nhắm tới có cơ sở Công nghiệp Quốc phòng Mỹ cũng như các công ty điện tử và kỹ thuật trên toàn thế giới.
Dưới dạng file thực thi Mach-O, backdoor XSLCmd sao chép chính nó vào "$HOME/Library/LaunchAgents/clipboardd" và tạo một file trong thư mục cho phép kích hoạt ngay khi nạn nhân khởi động lại máy tính.
Trong quá trình cài đặt, malware kiểm tra phiên bản hệ điều hành của hệ thống và có vẻ như các phiên bản cao hơn 10.8 (Mountain Lion) không bị đe dọa bởi mã độc. Điều này có nghĩa tin tặc chỉ nhắm tới những người dùng chạy các phiên bản 10.8 của OS X hay malware được thiết kế riêng cho Mountain Lion.
Việc sử dụng malware trên Windows để nhắm đến các hệ điều hành khác không còn là chiêu thức mới và với sự phổ biến hiện nay của các máy Apple, việc xây dựng spyware thích ứng riêng cho OS X cũng không có gì đáng ngạc nhiên.
Malware XSLCmd không chỉ nguy hiểm mà còn “có tính thích nghi” với khả năng tương thích của toolkit với hệ thống hoạt động mới của máy tính nạn nhân, đồng thời hoạt động ổn định trên máy đã bị lây nhiễm.
Nguồn: Softpedia, Whitehat
Post a Comment