Trong an ninh mạng, payload là một phần của một malware, một đoạn mã được chạy trên máy tính nạn nhân, dùng để thực hiện một số hoạt động độc hại nào đó như: hủy bỏ dữ liệu, spam hay mã hóa dữ liệu. Gần đây, một biến thể MacOS backdoor đã được phát hiện chứa nhiều payload và các biến thể được cập nhật các cơ chế chống phát hiện mới. Các nhà nghiên cứu nhận thấy sự liên kết của backdoor này với nhóm APT OceanLotus (SeaLotus).
Hoạt động sớm nhất từ năm 2013, OceanLotus thực hiện các cuộc tấn công có chủ đích nhằm vào các công ty truyền thông, nghiên cứu và xây dựng. Nhóm hacker này đang nhắm mục tiêu vào người dùng tại Việt Nam, vì tên của các tập tin sử dụng để phát tán mã độc được viết bằng tiếng Việt.
Các nhà nghiên cứu cho thấy: “Một số cập nhật của biến thể mới này bao gồm các hành vi và tên miền mới. OceanLotus đang tích cực cập nhật các biến thể của phần mềm độc hại nhằm cố gắng tránh bị phát hiện và cải thiện tính bền bỉ”.
Hiện tại, các nhà nghiên cứu chưa phát hiện cách phát tán loại mã độc mới này. Tuy nhiên, OceanLotus gần đây đã bị phát hiện sử dụng các trang web độc hại và ứng dụng Google Play để phát tán các phần mềm độc hại khác.
Phần mềm độc hại trên MacOS được đóng gói trong một ứng dụng và nén dưới định dạng .zip. Chúng giả dạng thành một tài liệu Microsoft Word bằng cách sử dụng biểu tượng Word. Ứng dụng sau khi đóng gói sẽ chứa hai thành phần: Tập lệnh chứa các tiến trình độc hại chính và tệp tin “Word” được hiển thị trong quá trình thực thi. Trong một nỗ lực khác nhằm tránh bị phát hiện, tên của ứng dụng sử dụng các ký tự đặc biệt - ba byte (“efb880”) dưới dạng mã hóa UTF-8.
Hình 1. Tập tin nén chứa mã độc
Khi một người dùng bắt đầu tìm kiếm thư mục thông qua ứng dụng macOS Finder hoặc trên cửa sổ dòng lệnh terminal, một thư mục có tên "ALL tim nha Chi Ngoc Canada.doc" sẽ hiện ra. Tuy nhiên, vì có ba ký tự đặc biệt nên hệ điều hành sẽ hiểu đây là một loại thư mục đặc biệt. Vì vậy, ứng dụng độc hại sẽ được thực thi ngay khi người dùng mở thư mục.
Hình 2. Ba ký tự đặc biệt trong tên tập tin
Sau đó, mã độc sẽ khởi chạy payload thứ hai để tải xuống payload thứ ba và áp dụng các kỹ thuật che dấu và giúp payload thứ ba có thể khởi động cùng hệ thống trước khi tự xoá chính nó. Payload thứ ba sử dụng một loại mã hóa tùy chỉnh base64 và thay đổi byte để tránh bị dịch ngược. Payload này có khả năng thu thập thông tin hệ điều hành và gửi/nhận dữ liệu đến các máy chủ câu lệnh và điều khiển (C2).
Các chức năng của backdoor bao gồm khả năng lấy thông tin bộ xử lý và bộ nhớ, số sê-ri và địa chỉ MAC của cổng mạng. Tất cả thông tin này được mã hóa và gửi đến máy chủ C2. Các lệnh khác được hỗ trợ bao gồm: Tải xuống và thực thi các lệnh, tải lên các tập tin và hiển thị kết quả các lệnh đã chạy.
Các nhà nghiên cứu cho biết, biến thể mã độc này có những điểm tương đồng với một backdoor của OceanLotus khác được phát hiện vào năm 2018 về các lệnh hỗ trợ và mã nguồn.
Hình 3. So sánh giữa hai mẫu mã độc cũ và mới của nhóm Oceanlotus
Để phòng tránh lây nhiễm phần mềm độc hại, người dùng MacOS không nên nhấp vào liên kết hoặc tải xuống tệp đính kèm từ email đến từ các nguồn đáng ngờ và thường xuyên cập nhật các bản vá cho phần mềm và ứng dụng của họ.
Đăng Thứ (Theo Threatpost)
13:00 | 09/12/2020
08:00 | 27/11/2019
10:00 | 25/02/2020
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024