Các nhà nghiên cứu bảo mật đã phát hiện ra sự tồn tại của một loại trojan mới có tên là “Proton” đang được tiếp thị trên các diễn đàn hack cho bọn tội phạm trực tuyến, tuyên bố được giao hàng chính hãng. Apple chữ ký mã có thể gây rủi ro lớn hơn cho nạn nhân.
Được tìm thấy trên các diễn đàn tội phạm mạng của Nga, “Proton” là một trojan truy cập từ xa (RAT) nhằm vào các hệ thống macOS. Được viết bằng Objective C, cho phép nó chạy mà không có bất kỳ phụ thuộc nào, phần mềm độc hại được người sáng tạo tiếp thị là “giải pháp kiểm soát và giám sát FUD chuyên nghiệp, mà bạn có thể làm hầu hết mọi thứ với (a) máy Mac của mục tiêu.”
Với đặc quyền truy cập root, danh sách các hành động tiềm năng bao gồm ghi khóa, tải lên và tải xuống tệp, ảnh chụp màn hình, truy cập webcam và kết nối SSH và VNC. Người ta cũng tuyên bố rằng phần mềm độc hại cũng có thể giới thiệu nạn nhân bằng một cửa sổ tùy chỉnh, có thể được sử dụng để yêu cầu thêm thông tin, chẳng hạn như số thẻ tín dụng.
Dữ liệu được lưu trữ cục bộ của người dùng không phải là thông tin duy nhất gặp rủi ro, vì các nhà nghiên cứu lưu ý rằng trojan cũng cấp quyền truy cập vào iCloud, ngay cả khi người dùng đã bật xác thực hai yếu tố.
Sixgill khuyên người tạo ra phần mềm độc hại đã quản lý để lấy mã có chữ ký của Apple, cho thấy nó đã vượt qua được Applequy trình lọc nghiêm ngặt của các nhà phát triển phần mềm bên thứ ba. Người ta tin rằng nhà phát triển đã làm sai lệch đăng ký của họ đối với Apple Chương trình ID nhà phát triển hoặc đã sử dụng thông tin đăng nhập bị đánh cắp, để vượt qua quá trình ký kết.
Bất chấp khả năng của nó, trojan vẫn dựa vào các phương pháp hiện có để lây nhiễm vào hệ thống mục tiêu. Người dùng Proton vẫn phải ngụy trang phần mềm độc hại bằng tên và biểu tượng tùy chỉnh, và bằng cách nào đó để lừa mục tiêu tải xuống và cài đặt nó.
Người tạo ra Proton đã cố gắng tiếp thị nó như một công cụ bảo mật được cho là hợp pháp, hoàn chỉnh với một trang web quảng cáo nó như một giải pháp lý tưởng để ngăn chặn hoạt động gián điệp của công ty, giúp quản trị viên quản lý hệ thống và để cha mẹ giám sát việc sử dụng Internet của con cái họ. Trang web nhanh chóng bị gỡ xuống ngay sau khi Sixgill công bố báo cáo của mình.
Đáng chú ý, người tạo ra trojan đã giảm giá Proton cho “khách hàng” tiềm năng của họ. Trước đây, công cụ này có giá 100 bitcoin (126.000 đô la) để có được, với giấy phép cài đặt không giới hạn, nhưng những lời chỉ trích từ những người khác đã khiến việc giảm xuống còn 40 bitcoin (50.400 đô la) cho các cài đặt không giới hạn, hoặc 2 bitcoin ($2, 512) cho một lần cài đặt.
Proton là nền tảng mới nhất trong chuỗi phát hiện phần mềm độc hại gần đây nhắm mục tiêu vào máy Mac, một nền tảng được coi là chống lại các cuộc tấn công mạnh mẽ hơn so với Windows và các hệ điều hành khác. Vào tháng 2, phần mềm độc hại có tên “MacDownloader” đã được phát hiện như một phần của nỗ lực tấn công các cá nhân và công ty trong ngành công nghiệp quốc phòng Hoa Kỳ và những người ủng hộ nhân quyền, bằng cách đóng giả bản cập nhật Flash Player.
Trong cùng tháng, phần mềm độc hại sử dụng macro chạy tự động trong tài liệu Word đã xuất hiện, sử dụng một kỹ thuật cũ trước đây được sử dụng để lây nhiễm Windows các hệ thống. Cuối tháng 2, một nhóm hack của Nga bị cáo buộc can thiệp vào cuộc bầu cử tổng thống Mỹ năm 2016 bị phát hiện đã cập nhật gói phần mềm độc hại “Xagent”, mở rộng phạm vi hoạt động từ Windows, thiết bị iOS, Android và Linux để tấn công máy Mac.
Nguồn: appleinsider
