Video: How to Fix: Could Not Create a Preboot Volume for APFS - MacBooks & Mac Desktops (Tháng Chín 2024)
Các nhà nghiên cứu đã phát hiện ra phần mềm độc hại được thiết kế để theo dõi người dùng trên máy Mac của nhà hoạt động người Anh.
Nhà nghiên cứu bảo mật độc lập Jacob Appelbaum đã phát hiện ra cửa hậu mới và chưa được biết đến trước đây trên máy Mac của nhà hoạt động trong khi tại Diễn đàn Tự do Oslo, Appelbaum viết trên Twitter. Anh ta đã phát hiện ra một biến thể thứ hai trên máy tính của một nhà hoạt động khác ngay sau đó.
"Nó dường như là một phần mềm độc hại hoàn toàn mới với hành vi hoàn toàn mới", Bogdan Botezatu của BitDefender nói với SecurityWatch .
Ít nhất là trong trường hợp của cuộc tấn công đầu tiên, nhà hoạt động này là nạn nhân của một cuộc tấn công lừa đảo giáo, trong đó anh ta bị dụ dỗ tải xuống và cài đặt phần mềm độc hại trong khi đăng nhập vào Mac, Botezatu nói.
Phần mềm độc hại làm gì
Ứng dụng cửa sau dường như chụp ảnh màn hình máy tính của người dùng và lưu trữ chúng trong một thư mục trong thư mục nhà của người dùng có tên MacApp, Sean Sullivan của F-Secure đã viết trên blog của công ty. Các nhà nghiên cứu của F-Secure nghi ngờ nó được phát triển thương mại, Sullivan nói với SecurityWatch .
Sau khi cài đặt, ứng dụng sẽ tự thêm vào danh sách các mục đăng nhập hiện tại của người dùng, danh sách các ứng dụng sẽ tự động chạy khi người dùng đăng nhập vào máy Mac. Phần mềm độc hại đã tải lên các ảnh chụp màn hình lên hai máy chủ chỉ huy và kiểm soát, một ở Hà Lan và một ở Pháp.
Mục đích chính của máy chủ chỉ huy và kiểm soát là thu thập tất cả ảnh chụp màn hình, nhưng nó cũng lưu trữ tên máy chủ và thông tin bổ sung về các máy bị nhiễm, Botezatu nói. Các nhà nghiên cứu của BitDefender đã phát hiện ra rằng biến thể thứ hai của cửa hậu Mac cũng liên lạc với một máy chủ ở Romania để tải thêm các thành phần và trọng tải.
Có thể máy chủ này sẽ hoạt động như một dự phòng cho bọn tội phạm nếu các máy chủ khác bị đình chỉ, Botezatu nói.
Mặc dù phần mềm độc hại là "không tinh vi", nhưng nó vẫn có khả năng thu thập thông tin về các hoạt động của người dùng trên máy tính đó "mà không gây ra quá nhiều tiếng ồn", Botezatu nói.
ID Apple có bị đánh cắp không?
Phần mềm độc hại đã được ký với ID Nhà phát triển Apple hợp lệ, điều đó có nghĩa là nó sẽ không bị phát hiện bởi chức năng Gatekeeper trong Mac OS X. Apple đã giới thiệu Gatekeeper, ngăn các ứng dụng chưa được tải xuống từ Internet thực thi, trong Mac OS X Mountain Lion và Lion v10.7.5 năm ngoái. BitDefender tin rằng đây là phần mềm độc hại đầu tiên của Mac được ký điện tử với ID Apple hợp pháp.
Tại thời điểm này, người ta không biết liệu khóa đã bị đánh cắp từ một nhà phát triển hợp pháp hay nếu nhà phát triển phần mềm độc hại lừa Apple tạo ID. Xem xét tên này tương tự như một ngôi sao nổi tiếng Bollywood đã qua đời gần đây, có khả năng nhà phát triển đã tạo ra một danh tính giả như một phần của quy trình đăng ký, Botezatu nói.
Người dùng có thể xem trong thư mục nhà của họ để xem liệu có thư mục MacApp để tìm hiểu xem họ có bị nhiễm hay không.
Mặc dù phần mềm độc hại là "khập khiễng" vì nó dễ dàng được phát hiện, nhưng nó vẫn "chết người", Appelbaum nói. "Vấn đề là tác giả đã đủ tốt để khiến ai đó gặp nguy hiểm chết người", Appelbaum viết trên Twitter.
