Vừa qua, các nhà nghiên cứu an ninh mạng đã phat hiện ra một chủng mã độc tống tiền mới (ransomware) nhắm vào người dùng hệ điều hành MacOS. Chúng được gọi là ThiefQuest (hay EvilQuest) và thường xâm nhập thông qua các ứng dụng lậu (pirated apps) để đánh cắp mật khẩu và số thẻ tín dụng của người dùng.
Xem nhanh
1. Ransomware là gì?
Ransomware là một dạng phần mềm độc hại hay còn được gọi là mã độc tống tiền, chuyên xâm nhập vào dữ liệu cá nhân của người dùng. Sau đó chúng mã hóa dữ liệu hoặc khóa quyền truy cập thiết bị của họ. Để trả lại quyền truy cập thiết bị hoặc dữ liệu, người dùng phải trả cho hacker một khoản tiền nhất định, gọi là tiền chuộc. 
Ngày nay ransomeware thường xuyên “rình rập” người dùng máy tính trên toàn thế giới. Riêng với máy Mac, chúng được thiết kế đặc biệt để tấn công hàng “phòng thủ” nghiêm ngặt của hệ điều hành macOS.
Trên thực tế mã độc tống tiền đã xuất hiện trên máy Mac từ 4 năm trước và ngày càng được thiết kế tinh vi hơn. Mới đây, Dinesh Devadoss – nhà nghiên cứu phần mềm độc hại tại công ty K7 Lab – phát hiện ra một chủng mã độc tống tiền mới trên máy Mac cực kỳ nguy hiểm, gọi là ThiefQuest (hoặc EvilQuest).
2. Cách thức hoạt động của mã độc tống tiền mới
Các nhà nghiên cứu cho biết mã độc tống tiền mới ThiefQuest có “thủ đoạn” hành động vô cùng tinh vi. Được đóng gói cùng với các phần mềm hợp pháp để người dùng tải về. Khi cài đặt, nó sẽ “ngụy trang” thành phần mềm CrashReporter của Apple hoặc Google Software Update để tránh bị phát hiện.
Như vậy ThiefQuest có những “trợ thủ” đắc lực là các phần mềm gián điệp (thường là phần mềm lậu). Thông qua các phần mềm này, ThiefQuest xâm nhập vào máy tính nạn nhân, “lục lọi” hệ thống, khởi tạo keylogger, tiến hành bẻ khóa để lấy mật khẩu, tài khoản thẻ tín dụng hoặc các thông tin tài chính khác.
3. Sức mạnh của mã độc tống tiền mới trên Mac
Được biết mã độc tống tiền mới ThiefQuest có sức mạnh vượt trội hơn so với các mã độc ransomware thông thường.
Theo đó, các phần mềm gián điệp phục vụ cho nó có thể tồn tại dai dẳng tại backdoor (cửa hậu) của các thiết bị bị nhiễm. Nghĩa là ngay cả khi người dùng phát hiện điểm bất thường, xóa phần mềm mới tải, tắt máy tính và khởi động lại thì phần mềm gián điệp vẫn còn “ẩn nấp” ở đâu đó.
Lúc này các phần mềm gián điệp này sẵn sàng làm “bàn đạp” để tiếp sức cho ThiefQuest thực hiện cuộc tấn công giai đoạn hai. “Cú bồi” thứ hai này còn đặc biệt nghiêm trọng hơn cả lần đầu.
Patrick Wardle, nhà nghiên cứu bảo mật chính tại công ty quản lý Mac Jamf nói: “Nhìn vào mã, nếu bạn tách logic ransomware khỏi logic backlink, cả hai trông như hai phần mềm độc hại riêng lẻ và không mấy nguy hiểm. Nhưng khi kết hợp chúng lại với nhau, thật đáng sợ, nó có khả năng kiểm soát hoàn toàn hệ thống bị nhiễm từ xa. Sau đó chúng đưa ra thông báo tống tiền cho nạn nhân.”
Như vậy, ngoài khả năng khởi tạo keylogger, ThiefQuest còn có khả năng thực thi các lệnh điều khiển thiết bị từ xa, tạo reverse shell, và thậm chí thực thi một payload độc hại trực tiếp trên bộ nhớ.
4. Cách nhận biết mã độc tống tiền mới ThiefQuest
Thomas Reed, giám đốc công ty bảo mật Malwarebytes, phát hiện ra ThiefQuest được phân phối trên các trang web torrent đi kèm với một số phần mềm nổi tiếng như ứng dụng bảo mật Little Snitch, phần mềm DJ Mixed In Key và nền tảng sản xuất âm nhạc Ableton.
Devadoss của công ty K7 lưu ý rằng mã độc tống tiền mới được thiết kế trông giống như một “chương trình cập nhật phần mềm của Google”. Tuy nhiên, cho đến nay, các nhà nghiên cứu nói rằng không có nhiều lượt tải xuống và chưa ai phải trả tiền chuộc cho địa chỉ Bitcoin mà bọn hacker cung cấp.
5. Cách ngăn chặn ThiefQuest tấn công máy Mac
Mặc dù ThiefQuest có nhiều tính năng nguy hiểm, nhưng nó hoàn toàn không thể lây nhiễm máy Mac của bạn nếu bạn không tải xuống các phần mềm lậu, phần mềm phi bản quyền.
Ngoài ra, để máy Mac tránh bị nhiễm mã độc ThiefQuest, người dùng cần hạn chế tải các phần mềm có rủi ro cao như đã đề cập trong phần nhận biết ở trên. Nếu đã tải về và muốn cài đặt, bạn cũng không nên bỏ qua hàng loạt cảnh báo từ Apple.
Bởi vì phần mềm an toàn bao giờ cũng có mã chứng minh tính hợp pháp do chính Apple xác nhận. Việc bỏ qua các thông báo này đồng nghĩa với việc tạo khe hở cho mã độc luồn lách vào MacBook của bạn.
ThiefQuest không thực sự dùng để tống tiền?
Đến nay mã độc tống tiền mới ThiefQuest dường như vẫn chưa hoàn chỉnh. Kẻ tấn công yêu cầu nạn nhận nộp tiền chuộc qua tài khoản Bitcoin, nhưng vấn đề là nếu dùng cách này hắn sẽ không biết được ai đã trả tiền và ai chưa. Ngoài ra thông báo tống tiền cũng không cho nạn nhân biết làm thế nào để giải mã mở khóa. Do đó, nó vẫn chưa đươc coi là một ransomware đúng nghĩa.
Vì sao ThiefQuest phải cần đến phần mềm gián điệp?
Một mã độc tống tiền không cần thiết phải phối hợp với phần mềm gián điệp để duy trì sự tồn tại sau khi người dùng khởi động lại máy. Đơn giản là vì ransomware cần “giấu mình” trong nền để thực hiện mã hóa, càng im hơi lặng tiếng càng tốt. Khi bắt gặp phần mềm phát hiện độc hại như Norton Antivirus, ransomware sẽ tạm ngưng để tránh bị nhận ra.
Trong khi đó ThiefQuest lại có vẻ rất “ngang nhiên”. Thomas Reed ngạc nhiên nói: “Khi tôi thử cài đặt nó vào máy để nghiên cứu, cứ sau 30 giây, máy tính của tôi lại kêu bíp liên hồi. Tôi không hiểu rốt cuộc mã độc ransomware này “đánh trống khua chiêng” như vậy để làm gì?”.
Mục đích của mã độc ThiefQuest là gì?
Wardle đưa ra giả thuyết rằng có lẽ ThiefQuest đã âm thầm chạy mô-đun phần mềm gián điệp trước, thu thập dữ liệu có giá trị, sau cùng mới khởi chạy phần mềm ransomware để gửi thông báo tống tiền cho nạn nhân.
Một số nhà nghiên khác cho rằng ThiefQuest hiện đang được phân phối thông qua các torrent, dường như không chỉ nhằm đánh cắp tiền mà còn để chiếm các kinks. Đây có thể là nhóm hacker tội phạm hình sự.
Tuy nhiên, tất cả chỉ là giả thuyết và hiện tại chưa ai biết được ý định thực sự của những kẻ đứng đằng sau ThiefQuest là gì.
Có lẽ mã độc tống tiền mới ThiefQuest đang hoạt động như một công cụ phá hoại, chúng khóa vĩnh viễn khiến người dùng không còn cơ hội tiếp cận vào tài khoản tài chính cá nhân trên máy tính. Cũng có thể ThiefQuest chỉ đang tìm cách đe dọa lấy càng nhiều tiền của nạn nhân càng tốt. Vậy rốt cuộc điều gì sẽ xảy đến tiếp theo sau khi máy tính người dùng bị dính mã độc ThiefQuest? Các nhà nghiên cứu vẫn đang nỗ lực tìm hiểu và thông tin đến người dùng hàng ngày.
Nguồn: wired.com
