FlutterShell tấn công cả macOS, mở rộng chiến dịch malware đa nền tảng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
1.966 bài viết
FlutterShell tấn công cả macOS, mở rộng chiến dịch malware đa nền tảng
WhiteHat Team
Một chiến dịch phát tán mã độc mới mang tên FlutterShell đang khiến giới chuyên gia an ninh mạng đặc biệt lo ngại khi bắt đầu mở rộng từ Windows sang cả macOS.
3983c710-46a7-47ec-943c-68f790f23ee0.png

Diễn biến này cho thấy tin tặc đang chuyển sang xu hướng xây dựng malware đa nền tảng nhằm nhắm tới nhiều nhóm người dùng hơn, đặc biệt là giới lập trình viên, nhân viên IT và doanh nghiệp sử dụng thiết bị Apple trong môi trường làm việc.

Theo nghiên cứu được công bố trên nhiều mặt báo, FlutterShell là một dạng backdoor được phát triển bằng Flutter (framework đa nền tảng của Google vốn được sử dụng để xây dựng ứng dụng cho Windows, macOS, Linux, Android và iOS). Việc sử dụng Flutter giúp kẻ tấn công chỉ cần duy trì một mã nguồn duy nhất nhưng vẫn có thể triển khai mã độc trên nhiều hệ điều hành khác nhau. Đây được xem là một bước tiến đáng chú ý trong cách các nhóm tấn công mạng hiện đại tối ưu chi phí và mở rộng quy mô chiến dịch.

Khác với nhiều loại malware truyền thống được viết riêng cho từng nền tảng, FlutterShell tận dụng chính cơ chế “write once, run anywhere” của Flutter để tạo ra mã độc linh hoạt hơn và khó phân tích hơn. Điều này khiến các công cụ bảo mật truyền thống gặp khó khăn trong việc nhận diện hành vi bất thường, đặc biệt khi ứng dụng được đóng gói với giao diện và cấu trúc tương tự phần mềm hợp pháp.

Theo các chuyên gia, biến thể mới trên macOS hoạt động như một backdoor hoàn chỉnh. Sau khi xâm nhập vào thiết bị nạn nhân, mã độc sẽ thiết lập kết nối tới máy chủ điều khiển của tin tặc để nhận lệnh từ xa. Từ đây, hacker có thể thu thập thông tin hệ thống, tải thêm payload độc hại, thực thi lệnh trên máy nạn nhân hoặc duy trì quyền truy cập lâu dài mà người dùng không hay biết.

Một trong những điểm đáng lo ngại nhất là FlutterShell không chỉ dừng ở việc đánh cắp dữ liệu. Backdoor này có thể biến thiết bị bị nhiễm thành “bàn đạp” cho các hoạt động tấn công sâu hơn vào hạ tầng doanh nghiệp. Nếu xuất hiện trong môi trường công ty, mã độc có thể bị lợi dụng để đánh cắp thông tin đăng nhập, triển khai ransomware, cài infostealer hoặc mở rộng truy cập sang các hệ thống nội bộ khác.

Các nhà nghiên cứu cho rằng FlutterShell nhiều khả năng được phát tán thông qua các ứng dụng giả mạo, bộ cài phần mềm crack, công cụ dành cho lập trình viên hoặc website tải phần mềm không chính thức. Đây là hình thức phát tán khá phổ biến trong thời gian gần đây khi giới tấn công mạng increasingly nhắm vào nhóm người dùng kỹ thuật – những người thường xuyên tải và thử nghiệm công cụ mới.

Việc chiến dịch mở rộng sang macOS cũng phản ánh một thay đổi lớn trong bức tranh an ninh mạng hiện nay. Trong nhiều năm, phần lớn malware tập trung vào Windows do thị phần áp đảo. Tuy nhiên, khi ngày càng nhiều doanh nghiệp chuyển sang sử dụng MacBook và hệ sinh thái Apple cho công việc, macOS cũng bắt đầu trở thành mục tiêu hấp dẫn hơn đối với tội phạm mạng.

Giới chuyên gia cảnh báo rằng tâm lý “Mac an toàn hơn Windows” đang trở thành điểm yếu khiến nhiều người dùng chủ quan. Trên thực tế, nếu người dùng tự tải và cài đặt phần mềm từ nguồn không đáng tin cậy, hệ điều hành nào cũng có thể trở thành mục tiêu của malware.

Các chuyên gia an ninh mạng khuyến nghị người dùng chỉ nên tải phần mềm từ nguồn chính thức hoặc App Store, hạn chế sử dụng phần mềm crack và luôn kiểm tra kỹ quyền mà ứng dụng yêu cầu khi cài đặt. Với doanh nghiệp, việc triển khai giải pháp giám sát hành vi, kiểm soát ứng dụng được phép chạy và theo dõi các kết nối outbound bất thường là rất quan trọng để phát hiện sớm hoạt động của backdoor.

Ngoài ra, doanh nghiệp cũng cần tách biệt thiết bị cá nhân và thiết bị phục vụ công việc nhằm giảm nguy cơ lây nhiễm chéo giữa môi trường cá nhân và hệ thống nội bộ. Đây là yếu tố đặc biệt quan trọng trong bối cảnh các chiến dịch malware hiện đại ngày càng tận dụng thiết bị đầu cuối để xâm nhập sâu hơn vào hạ tầng doanh nghiệp.

Sự xuất hiện của FlutterShell trên macOS là lời nhắc rõ ràng rằng không còn hệ điều hành nào “miễn nhiễm” trước mã độc. Khi các nhóm tấn công bắt đầu tận dụng các framework phát triển hiện đại để xây dựng malware đa nền tảng, ranh giới giữa malware Windows và malware macOS đang dần bị xóa nhòa. Chỉ một lần tải nhầm phần mềm hoặc cài đặt ứng dụng không rõ nguồn gốc cũng có thể biến thiết bị cá nhân thành cửa hậu cho các cuộc tấn công quy mô lớn hơn.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Tin tặc lợi dụng tên miền Google DoubleClick để phát tán mã độc DesckVB RAT
  • Mini Shai-Hulud: Khi một package npm trở thành backdoor đánh cắp toàn bộ hạ tầng CI/CD
  • ShinyHunters tấn công Canvas LMS: Hàng loạt dữ liệu sinh viên và giảng viên bị lộ
  • Google Ads và Claude AI bị hacker lợi dụng phát tán mã độc nhắm vào người dùng macOS
  • Qilin, Warlock dùng driver lỗi để vô hiệu hóa bảo mật, phát tán ransomware
  • Email GitHub, Jira bị lợi dụng để qua mặt bảo mật và phát tán phishing
    • Thẻ
    fluttershell macos malware
    Bên trên