Các nhà nghiên cứu đã phát hiện ra phần mềm độc hại này tại một số trang web, từ các trang web cung cấp các phần mềm vi phạm bản quyền, đến một số liên kết tìm kiếm Google (các liên kết không được tài trợ và có xếp hạng thấp). Theo khuyến cáo của Intego, người dùng có thể bị lây nhiễm trojan này từ các nguồn vô hại như các kết quả tìm kiếm của Google được xếp hạng thấp.
Phần mềm độc hại OSX/CrescentCore được phát hiện lần đầu tiên trên một trang web truyện tranh, đăng tải các bản sao kỹ thuật số của các truyện tranh mới. Trojan này được ngụy trang dưới dạng các bản cập nhật Flash Player trên trình duyệt, tuy nhiên nếu chú ý quan sát người dùng sẽ nhận thấy nó hoàn toàn khác với các thông báo của bản cập nhật Flash Player hợp pháp. Đặc biệt là những người dùng Chrome trên Mac sẽ nghi ngờ, vì trình duyệt Chrome trên Mac có phiên bản Flash tích hợp riêng và được cập nhật tự động.
Các nhà nghiên cứu cũng đưa ra khuyến cáo, người dùng không nên cài đặt Flash Player và tiếp tục sử dụng chúng trong năm 2019. Gần như tất cả các trang web phổ biến đã ngừng hoặc có thông báo về tiến trình ngừng các dịch vụ dựa vào Flash. Nguyên nhân bởi Adobe đã không còn lên kế hoạch phát hành bản cập nhật bảo mật cho Flash Player.
Trojan OSX/CrescentCore giả dạng Flash Player thường được phân phối dưới dạng file đĩa ảo có dạng *.dmg để lẩn tránh các phần mềm diệt virus. Tuy nhiên, nó còn được thiết kế thêm một số khả năng bổ sung làm cho phần mềm chống virus khó phát hiện hơn, đồng thời chống lại việc dịch ngược của các nhà nghiên cứu mã độc.
Sau khi nạn nhân truy cập file đĩa ảo có dạng *.dmg và mở ứng dụng Flash Player, phần mềm độc hại này sẽ kiểm tra xem liệu nó thực thi trong môi trường Sandbox hay không. Nếu bị phát hiện, OSX/CrescentCore sẽ không thực thi bất kể hành động nào để ngăn chặn việc bị phân tích hành vi.
OSX/CrescentCore cũng kiểm tra sự tồn tại của của chương trình chống virus. Nếu không có, phần mềm độc hại này sẽ tiến hành thay đổi cài đặt LaunchAgent trên máy của nạn nhân. OSX/CrescentCore truy cập vào giao diện đồ họa người dùng và hiển thị thông tin ứng dụng, đây là một sự lây nhiễm dai dẳng với người dùng Mac không sử dụng phần mềm chống virus.
Một biến thể thứ hai của phần mềm độc hại này cũng đã bị phát hiện và đang được các chuyên gia tiến hành phân tích. Với biến thể này, trình cài đặt trojan có thể cài đặt phần mềm giả mạo có tên Advanced Advanced Cleaner Cleaner (OSX/AMC) hoặc cài đặt tiện ích mở rộng độc hại trình duyệt Safari.
Nhật Minh
Theo SC magazine
08:36 | 12/07/2016
09:53 | 22/08/2017
09:03 | 06/07/2017
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
10:00 | 22/11/2023
Các nhà nghiên cứu an ninh mạng của Palo Alto Networks Unit 42 (Đơn vị 42) đã phát hiện ra các hoạt động mạng độc hại do các nhóm tin tặc nổi tiếng của Trung Quốc dàn dựng nhằm vào 24 tổ chức thuộc chính phủ Campuchia.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024