WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc macro Word tấn công Apple Mac OS trên thực tế
Sau một vài năm nhắm mục tiêu vào các máy tính chạy Windows, giờ đây hacker bắt đầu chuyển mục tiêu sang máy tính Mac. Vụ tấn công đầu tiên trên các tài liệu Word có nền tảng macro trên máy Mac vừa qua là minh chứng cho điều này.
Trở lại thập niên 90 của thế kỷ trước, bạn có thể đã thấy quen với tin nhắn với nội dung “Warning: This document contains macros” (Cảnh báo: Tài liệu này có chứa marco).
Macro là một chuỗi lệnh và thao tác giúp tự động hóa một số tác vụ. Các ứng dụng Microsoft Office hỗ trợ macro được viết bằng chương trình Visual Basic for Applications (VBA) và cũng có thể bị lợi dụng để thực hiện những thao tác độc hại như tự động cài malware. Cho đến nay, hacker đã sử dụng kỹ thuật này để tấn công vào máy tính chạy hệ điều hành Windows.
Tuy nhiên, các nhà nghiên cứu an ninh đã lần đầu tiên phát hiện hacker đang lợi dụng lỗ hổng của macro trong các tài liệu Word để cài malware lên máy tính Mac và ăn cắp dữ liệu của người dùng – một kỹ thuật cổ điển thường được dùng trên Windows.
Hacker lừa người dùng mở các tập tin Word bị nhiễm độc rồi chạy các lệnh macro độc hại lên máy tính. Một trong những tập tin Word nhiễm độc được phát hiện có tên là “U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace.docm”.
Tuy nhiên, sau khi click vào tập tin bị nhiễm độc và trước khi chạy trên hệ thống cua bạn, người dùng Mac thường ngay lập tức kích hoạt lệnh macro. Trong khi đó, việc từ chối kích hoạt có thể giúp máy tính bạn được an toàn, nhưng nếu bạn kích hoạt thì macro sẽ thực thi một tác vụ, được mã hóa bằng ngôn ngữ Python. Tác vụ này sẽ tự động tải đoạn malware về để lây nhiễm máy Mac PC, cho phép hacker truy cập được webcam, lịch sử duyệt web, mật khẩu và mã hóa bàn phím.
Theo nhà nghiên cứu Patrick Wardle từ hãng Synack, ngôn ngữ Python giống như EmPyre – một mã nguồn mở Mac thường được khai thác bởi các doanh nghiệp sử dụng Linux.
Wardle đã theo dõi địa chỉ IP từ các tài liệu Word bị nhiễm độc được phát tán đến Nga và phát hiện thấy địa chỉ IP này đã từng có liên quan đến các hoạt động tấn công lừa đảo qua mạng.
Một cuộc tấn công mã độc khác bị phát hiện tuần trước cũng dựa trên các kỹ thuật tấn công Windows, lừa người dùng tải và cài đặt bản cập nhật phần mềm giả mạo nhằm mục đích thu thập chìa khoá mật khẩu (keychain), tài khoản người dùng, mật khẩu và các dữ liệu nhạy cảm khác.
MacDownloader là một trong những virus cực kỳ khó chịu. Nó giả dạng là một bản cập nhật của Adobe Flash và BitDefender Adware Removal Tool gây khó chịu và phiền phức cho nhiều người dùng.
Cả khi người dùng nhấp chuột “đồng ý” hay “từ chối” cập nhật một hoặc cả hai phần mềm trên, mã độc sẽ có cơ hội thu thấp keychain, tên tài khoản và mật khẩu, thông tin nhạy cảm của người dùng, sau đó gửi về cho kẻ tấn công.
Các nhà nghiên cứu cũng chỉ ra rằng hầu hết các malware trên hệ điều hành MacOS chủ yếu nhắm vào nền công nghiệp quốc phòng. Cách tốt nhất để tránh những cuộc tấn công như thế này là từ chối kích hoạt macro khi mở một tài liệu Word đáng ngờ và tránh tải phần mềm từ bên thứ ba hoặc các trang web không tin cậy.
Trở lại thập niên 90 của thế kỷ trước, bạn có thể đã thấy quen với tin nhắn với nội dung “Warning: This document contains macros” (Cảnh báo: Tài liệu này có chứa marco).
Macro là một chuỗi lệnh và thao tác giúp tự động hóa một số tác vụ. Các ứng dụng Microsoft Office hỗ trợ macro được viết bằng chương trình Visual Basic for Applications (VBA) và cũng có thể bị lợi dụng để thực hiện những thao tác độc hại như tự động cài malware. Cho đến nay, hacker đã sử dụng kỹ thuật này để tấn công vào máy tính chạy hệ điều hành Windows.
Tuy nhiên, các nhà nghiên cứu an ninh đã lần đầu tiên phát hiện hacker đang lợi dụng lỗ hổng của macro trong các tài liệu Word để cài malware lên máy tính Mac và ăn cắp dữ liệu của người dùng – một kỹ thuật cổ điển thường được dùng trên Windows.
Hacker lừa người dùng mở các tập tin Word bị nhiễm độc rồi chạy các lệnh macro độc hại lên máy tính. Một trong những tập tin Word nhiễm độc được phát hiện có tên là “U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace.docm”.
Tuy nhiên, sau khi click vào tập tin bị nhiễm độc và trước khi chạy trên hệ thống cua bạn, người dùng Mac thường ngay lập tức kích hoạt lệnh macro. Trong khi đó, việc từ chối kích hoạt có thể giúp máy tính bạn được an toàn, nhưng nếu bạn kích hoạt thì macro sẽ thực thi một tác vụ, được mã hóa bằng ngôn ngữ Python. Tác vụ này sẽ tự động tải đoạn malware về để lây nhiễm máy Mac PC, cho phép hacker truy cập được webcam, lịch sử duyệt web, mật khẩu và mã hóa bàn phím.
Theo nhà nghiên cứu Patrick Wardle từ hãng Synack, ngôn ngữ Python giống như EmPyre – một mã nguồn mở Mac thường được khai thác bởi các doanh nghiệp sử dụng Linux.
Wardle đã theo dõi địa chỉ IP từ các tài liệu Word bị nhiễm độc được phát tán đến Nga và phát hiện thấy địa chỉ IP này đã từng có liên quan đến các hoạt động tấn công lừa đảo qua mạng.
Một cuộc tấn công mã độc khác bị phát hiện tuần trước cũng dựa trên các kỹ thuật tấn công Windows, lừa người dùng tải và cài đặt bản cập nhật phần mềm giả mạo nhằm mục đích thu thập chìa khoá mật khẩu (keychain), tài khoản người dùng, mật khẩu và các dữ liệu nhạy cảm khác.
MacDownloader là một trong những virus cực kỳ khó chịu. Nó giả dạng là một bản cập nhật của Adobe Flash và BitDefender Adware Removal Tool gây khó chịu và phiền phức cho nhiều người dùng.
Cả khi người dùng nhấp chuột “đồng ý” hay “từ chối” cập nhật một hoặc cả hai phần mềm trên, mã độc sẽ có cơ hội thu thấp keychain, tên tài khoản và mật khẩu, thông tin nhạy cảm của người dùng, sau đó gửi về cho kẻ tấn công.
Các nhà nghiên cứu cũng chỉ ra rằng hầu hết các malware trên hệ điều hành MacOS chủ yếu nhắm vào nền công nghiệp quốc phòng. Cách tốt nhất để tránh những cuộc tấn công như thế này là từ chối kích hoạt macro khi mở một tài liệu Word đáng ngờ và tránh tải phần mềm từ bên thứ ba hoặc các trang web không tin cậy.
Theo: The Hacker News, Tech Signin
Chỉnh sửa lần cuối bởi người điều hành: