Scareware tấn công người dùng Mac

Phóng to

Giao diện của phần mềm độc hại Mac Defender - Ảnh minh họa: Gadgetsteria.com

Scareware “Mac Defender” khai thác một lỗ hổng an ninh trong trình duyệt Safari của Apple và cả những trình duyệt khác, để tự tải chính nó về máy nạn nhân.

Theo tờ The Guardian, bộ phận hỗ trợ khách hàng của Apple đã được lãnh đạo công ty thông báo “vụ việc đang được điều tra”, đồng thời bị “cấm chỉ” không được tiết lộ hay xác nhận trước báo giới rằng đây có phải phần mềm độc hại (malware) hay không.

Chuyên trang công nghệ ZDNet đã có trong tay bản copy của lãnh đạo Apple gửi xuống bộ phận phụ trách khách hàng, trong đó nói rõ những gì bộ phận này được phép hành xử và công bố trước công chúng.

Scareware này còn có rất nhiều tên và dị bản khác, như “Mac Protector” và “Mac Security”. Tờ TheGuardian phát hiện chương trình độc hại này đã được phát tán rộng rãi thông qua các mạng quảng cáo trực tuyến có banner đặt trên cả những báo lớn như Washington Post, hoặc thông qua những kết quả tìm kiếm “bị nhiễm độc” (poisoned) bởi Google Images.

Sourcefire Vulnerability Research Team (SVRT), đơn vị đã phân tích scareware nói trên, cho biết khi một người dùng ghé thăm một trang web chứa một mẩu quảng cáo hoặc đường dẫn bị nhiễm mã độc, quá trình tải về file “mac-antivirus.zip” liền tự động bắt đầu bởi cơ chế Javascript. Thêm nữa, bởi chế độ mặc định trong Safari đối với tính năng “mở file sau khi tải về” (open files after download), chương trình liền được giải nén và kích hoạt bộ cài đặt.

Như vậy, chương trình sẽ tự động chạy mỗi khi người dùng đăng nhập vào máy, thường xuyên tự nhận rằng “đang quét” hệ thống của khổ chủ và không quên hiện ra những yêu cầu đòi hỏi chi tiết thẻ tín dụng.

Cũng theo SVRT, ngoài chuyện đòi nạn nhân phải nộp tiền để được “làm sạch” máy tính, chương trình không cho thấy mục đích nguy hiểm nào sâu hơn. Theo những chuyên gia phân tích, họ gọi Mac Defender là một dạng “ransomware” (phần mềm chiếm dụng dữ liệu đòi tiền chuộc). Những phần mềm dạng này có cách thức hoạt động giống nhau: làm như thể máy tính của nạn nhân đang bị nhiễm đủ loại virus hay spyware rất nặng, thậm chí còn liên tục hiển thị những cửa sổ pop-up của đủ loại trang web quảng cáo hay khiêu dâm cho thêm phần kịch tính, khiến người dùng tin rằng cỗ máy của họ thật sự đang “lâm nguy”. Cuối cùng, chương trình đề xuất họ mua phần mềm diệt malware “Mac Defender” với giá chỉ 79,99 USD.

Vấn đề ở chỗ những hình thức lừa đảo và lây nhiễm phần mềm giả mạo tuy không xa lạ gì với người sử dụng Windows, nhưng những bước tiến đầu tiên của tội phạm dạng này đối với nền tảng Mac của Apple chính là hồi chuông báo động giới tội phạm điện tử đã bắt đầu tìm đến những điểm yếu trong hệ điều hành OSX.

Những kẻ chủ mưu rất biết cách xóa dấu vết. Khi tờ The Guardian liên lạc với Atjeu, dịch vụ hosting chịu trách nhiệm đăng tải mẩu quảng cáo nhiễm mã độc trên trang web tờ Washington Post, họ cho biết không có trong tay bất cứ hồ sơ hay thông tin nào về chủ nhân của nó. Tuy nhiên, Atjeu cũng cho rằng có thể một tài khoản trên máy chủ của họ đã bị hack và kẻ tấn công đã dùng tài khoản này để tải lên mẩu quảng cáo bị nhiễm độc, vì thế nên không có bất cứ thông tin gì về kẻ thật sự đứng đằng sau hành động này.