Trong an ninh mạng, payload là một phần của một malware, một đoạn mã được chạy trên máy tính nạn nhân, dùng để thực hiện một số hoạt động độc hại nào đó như: hủy bỏ dữ liệu, spam hay mã hóa dữ liệu. Gần đây, một biến thể MacOS backdoor đã được phát hiện chứa nhiều payload và các biến thể được cập nhật các cơ chế chống phát hiện mới. Các nhà nghiên cứu nhận thấy sự liên kết của backdoor này với nhóm APT (SeaLotus).
Hoạt động sớm nhất từ năm 2013, thực hiện các cuộc tấn công có chủ đích nhằm vào các công ty truyền thông, nghiên cứu và xây dựng. Nhóm hacker này đang nhắm mục tiêu vào người dùng tại Việt Nam, vì tên của các tập tin sử dụng để phát tán mã độc được viết bằng tiếng Việt.
Các nhà nghiên cứu cho thấy: “Một số cập nhật của biến thể mới này bao gồm các hành vi và tên miền mới. OceanLotus đang tích cực cập nhật các biến thể của phần mềm độc hại nhằm cố gắng tránh bị phát hiện và cải thiện tính bền bỉ”.
Hiện tại, các nhà nghiên cứu chưa phát hiện cách phát tán loại mã độc mới này. Tuy nhiên, OceanLotus gần đây đã bị phát hiện sử dụng các trang web độc hại và ứng dụng Google Play để phát tán các phần mềm độc hại khác.
Phần mềm độc hại trên MacOS được đóng gói trong một ứng dụng và nén dưới định dạng .zip. Chúng giả dạng thành một tài liệu Microsoft Word bằng cách sử dụng biểu tượng Word. Ứng dụng sau khi đóng gói sẽ chứa hai thành phần: Tập lệnh chứa các tiến trình độc hại chính và tệp tin “Word” được hiển thị trong quá trình thực thi. Trong một nỗ lực khác nhằm tránh bị phát hiện, tên của ứng dụng sử dụng các ký tự đặc biệt - ba byte (“efb880”) dưới dạng mã hóa UTF-8.
Hình 1. Tập tin nén chứa mã độc
Khi một người dùng bắt đầu tìm kiếm thư mục thông qua ứng dụng macOS Finder hoặc trên cửa sổ dòng lệnh terminal, một thư mục có tên "ALL tim nha Chi Ngoc Canada.doc" sẽ hiện ra. Tuy nhiên, vì có ba ký tự đặc biệt nên hệ điều hành sẽ hiểu đây là một loại thư mục đặc biệt. Vì vậy, ứng dụng độc hại sẽ được thực thi ngay khi người dùng mở thư mục.
Hình 2. Ba ký tự đặc biệt trong tên tập tin
Sau đó, mã độc sẽ khởi chạy payload thứ hai để tải xuống payload thứ ba và áp dụng các kỹ thuật che dấu và giúp payload thứ ba có thể khởi động cùng hệ thống trước khi tự xoá chính nó. Payload thứ ba sử dụng một loại mã hóa tùy chỉnh base64 và thay đổi byte để tránh bị dịch ngược. Payload này có khả năng thu thập thông tin hệ điều hành và gửi/nhận dữ liệu đến các máy chủ câu lệnh và điều khiển (C2).
Các chức năng của backdoor bao gồm khả năng lấy thông tin bộ xử lý và bộ nhớ, số sê-ri và địa chỉ MAC của cổng mạng. Tất cả thông tin này được mã hóa và gửi đến máy chủ C2. Các lệnh khác được hỗ trợ bao gồm: Tải xuống và thực thi các lệnh, tải lên các tập tin và hiển thị kết quả các lệnh đã chạy.
Các nhà nghiên cứu cho biết, biến thể mã độc này có những điểm tương đồng với một backdoor của khác được phát hiện vào năm 2018 về các lệnh hỗ trợ và mã nguồn.
Hình 3. So sánh giữa hai mẫu mã độc cũ và mới của nhóm Oceanlotus
Để phòng tránh lây nhiễm phần mềm độc hại, người dùng MacOS không nên nhấp vào liên kết hoặc tải xuống tệp đính kèm từ email đến từ các nguồn đáng ngờ và thường xuyên cập nhật các bản vá cho phần mềm và ứng dụng của họ.
Đăng Thứ (Theo Threatpost)
13:00 | 09/12/2020
08:00 | 27/11/2019
10:00 | 25/02/2020
10:00 | 14/05/2024
Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.
10:00 | 13/05/2024
Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024