Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Thêm một mã độc trên Mac mở backdoor trên hệ thống bị lây nhiễm
Mới hôm qua, trojan Eleanor nhắm tới các thiết bị Mac và mở backdoor trên hệ thống lây nhiễm thông qua sử dụng mạng ẩn danh Tor bị phát hiện. Hôm nay, các chuyên gia vừa công bố thêm một trojan tương tự sử dụng dịch vụ Tor2Web để lấy cắp mật khẩu từ phần mềm quản lý mật khẩu Keychain. (chùm chìa khóa iCloud).
Trojan Keydnap là dòng mã độc trên Mac mới, lần đầu được phát hiện vào tháng 5/2016 với phiên bản 1.3.1 và tiếp đến vào tháng 6 với phiên bản 1.3.5.
Cơ chế hoạt động của Keydnap rất đơn giản, thậm chí cả quá lây nhiễm chỉ gồm vài bước.
Bộ lây nhiễm Keydnap giả mạo tập tin ảnh/văn bản
Quy trình lây nhiễm bắt đầu khi người dùng nhận được một email chứa tập tin được nén lại. Giải nén tập tin này người dùng sẽ thấy một file ảnh/văn bản. Có một khoảng trống sau phần mở rộng (extension) của tập tin, có nghĩa tập tin này sẽ chạy trên các thiết bị Mac. Đây thực chất là một file thực thi Mach-O được trang bị icon giả.
Khi được thực thi, tập tin sẽ thực hiện hành vi độc hại sau đó hiển thị hình ảnh/văn bản nhằm che mắt người dùng. Các hành vi độc hại bao gồm nhiều hoạt động chạy trong giao diện điều khiển. Đầu tiên, tập tin tải về một thành phần khác, chính là backdoor Keydnap. Sau đó backdoor sẽ được thực thi để cài đặt lên LaunchAgent, chiếm quyền boot. Tiếp đó, tập tin tải về hình ảnh/văn bản để hiển thị với người dùng.
Sau bước này, trojan Keydnap sẽ thực thi và cố gắng chiếm quyền root bằng cách sử dụng popup yêu cầu cung cấp thông tin cá nhân.
Keydnap có vẻ như nhắm tới các chuyên gia an ninh
Keydnap sau đó khai thác nội dung của Keychain trên thiết bị Mac bằng cách sử dụng đoạn mã Keychaindump lấy từ GitHub và mở một liên kết tới trang ẩn danh Tor sử dụng Tor2Web proxy onion.to. Nội dung của Keychain sẽ được gửi đến máy chủ C&C thông qua HTTPS.
Đến thời điểm hiện tại, các chuyên gia đã phát hiện 2 máy chủ C&C của tin tặc. Dựa trên những hình ảnh “mồi” mà trojan hiển thị, các chuyên gia dự đoán đối tượng mà Keydnap nhắm tới có thể là các chuyên gia an ninh mạng. Trong nhiều trường hợp, các hình ảnh “mồi” mà Keydnap sử dụng là hình ảnh bảng điều khiển C&C botnet – thứ mà có lẽ các chuyên gia an ninh mạng sẽ quan tâm.
Bên cạnh việc lấy cắp mật khẩu từ các thiết bị Mac lây nhiễm, Keydnap cũng có các khả năng: tải và thực thi tập tin từ một URL từ xa; tải và thực thi các script Python; thực thi các lệnh shell và gửi về kết quả; cập nhật backdoor lên phiên bản mới.
"Hiện tại vẫn chưa rõ cách thức Keydnap phát tán và số nạn nhân bị ảnh hưởng. Mặc dù trên OS X có một số cơ chế an ninh để giảm thiểu phần mềm độc hại, tin tặc vẫn có thể lừa người dùng thực thi đoạn mã độc hại ngoài sandbox bằng cách thay icon của một tập tin Mach-O", chuyên gia cho biết.
Trojan Keydnap là dòng mã độc trên Mac mới, lần đầu được phát hiện vào tháng 5/2016 với phiên bản 1.3.1 và tiếp đến vào tháng 6 với phiên bản 1.3.5.
Cơ chế hoạt động của Keydnap rất đơn giản, thậm chí cả quá lây nhiễm chỉ gồm vài bước.
Bộ lây nhiễm Keydnap giả mạo tập tin ảnh/văn bản
Quy trình lây nhiễm bắt đầu khi người dùng nhận được một email chứa tập tin được nén lại. Giải nén tập tin này người dùng sẽ thấy một file ảnh/văn bản. Có một khoảng trống sau phần mở rộng (extension) của tập tin, có nghĩa tập tin này sẽ chạy trên các thiết bị Mac. Đây thực chất là một file thực thi Mach-O được trang bị icon giả.
Khi được thực thi, tập tin sẽ thực hiện hành vi độc hại sau đó hiển thị hình ảnh/văn bản nhằm che mắt người dùng. Các hành vi độc hại bao gồm nhiều hoạt động chạy trong giao diện điều khiển. Đầu tiên, tập tin tải về một thành phần khác, chính là backdoor Keydnap. Sau đó backdoor sẽ được thực thi để cài đặt lên LaunchAgent, chiếm quyền boot. Tiếp đó, tập tin tải về hình ảnh/văn bản để hiển thị với người dùng.
Sau bước này, trojan Keydnap sẽ thực thi và cố gắng chiếm quyền root bằng cách sử dụng popup yêu cầu cung cấp thông tin cá nhân.
Keydnap có vẻ như nhắm tới các chuyên gia an ninh
Keydnap sau đó khai thác nội dung của Keychain trên thiết bị Mac bằng cách sử dụng đoạn mã Keychaindump lấy từ GitHub và mở một liên kết tới trang ẩn danh Tor sử dụng Tor2Web proxy onion.to. Nội dung của Keychain sẽ được gửi đến máy chủ C&C thông qua HTTPS.
Đến thời điểm hiện tại, các chuyên gia đã phát hiện 2 máy chủ C&C của tin tặc. Dựa trên những hình ảnh “mồi” mà trojan hiển thị, các chuyên gia dự đoán đối tượng mà Keydnap nhắm tới có thể là các chuyên gia an ninh mạng. Trong nhiều trường hợp, các hình ảnh “mồi” mà Keydnap sử dụng là hình ảnh bảng điều khiển C&C botnet – thứ mà có lẽ các chuyên gia an ninh mạng sẽ quan tâm.
Bên cạnh việc lấy cắp mật khẩu từ các thiết bị Mac lây nhiễm, Keydnap cũng có các khả năng: tải và thực thi tập tin từ một URL từ xa; tải và thực thi các script Python; thực thi các lệnh shell và gửi về kết quả; cập nhật backdoor lên phiên bản mới.
"Hiện tại vẫn chưa rõ cách thức Keydnap phát tán và số nạn nhân bị ảnh hưởng. Mặc dù trên OS X có một số cơ chế an ninh để giảm thiểu phần mềm độc hại, tin tặc vẫn có thể lừa người dùng thực thi đoạn mã độc hại ngoài sandbox bằng cách thay icon của một tập tin Mach-O", chuyên gia cho biết.
Nguồn: Softpedia