Các nhà nghiên cứu đã phát hiện ra phần mềm độc hại này tại một số trang web, từ các trang web cung cấp các phần mềm vi phạm bản quyền, đến một số liên kết tìm kiếm Google (các liên kết không được tài trợ và có xếp hạng thấp). Theo khuyến cáo của Intego, người dùng có thể bị lây nhiễm trojan này từ các nguồn vô hại như các kết quả tìm kiếm của Google được xếp hạng thấp.
Phần mềm độc hại OSX/CrescentCore được phát hiện lần đầu tiên trên một trang web truyện tranh, đăng tải các bản sao kỹ thuật số của các truyện tranh mới. Trojan này được ngụy trang dưới dạng các bản cập nhật Flash Player trên trình duyệt, tuy nhiên nếu chú ý quan sát người dùng sẽ nhận thấy nó hoàn toàn khác với các thông báo của bản cập nhật Flash Player hợp pháp. Đặc biệt là những người dùng Chrome trên Mac sẽ nghi ngờ, vì trình duyệt Chrome trên Mac có phiên bản Flash tích hợp riêng và được cập nhật tự động.
Các nhà nghiên cứu cũng đưa ra khuyến cáo, người dùng không nên cài đặt Flash Player và tiếp tục sử dụng chúng trong năm 2019. Gần như tất cả các trang web phổ biến đã ngừng hoặc có thông báo về tiến trình ngừng các dịch vụ dựa vào Flash. Nguyên nhân bởi Adobe đã không còn lên kế hoạch phát hành bản cập nhật bảo mật cho Flash Player.
Trojan OSX/CrescentCore giả dạng Flash Player thường được phân phối dưới dạng file đĩa ảo có dạng *.dmg để lẩn tránh các phần mềm diệt virus. Tuy nhiên, nó còn được thiết kế thêm một số khả năng bổ sung làm cho phần mềm chống virus khó phát hiện hơn, đồng thời chống lại việc dịch ngược của các nhà nghiên cứu mã độc.
Sau khi nạn nhân truy cập file đĩa ảo có dạng *.dmg và mở ứng dụng Flash Player, phần mềm độc hại này sẽ kiểm tra xem liệu nó thực thi trong môi trường Sandbox hay không. Nếu bị phát hiện, OSX/CrescentCore sẽ không thực thi bất kể hành động nào để ngăn chặn việc bị phân tích hành vi.
OSX/CrescentCore cũng kiểm tra sự tồn tại của của chương trình chống virus. Nếu không có, phần mềm độc hại này sẽ tiến hành thay đổi cài đặt LaunchAgent trên máy của nạn nhân. OSX/CrescentCore truy cập vào giao diện đồ họa người dùng và hiển thị thông tin ứng dụng, đây là một sự lây nhiễm dai dẳng với người dùng Mac không sử dụng phần mềm chống virus.
Một biến thể thứ hai của phần mềm độc hại này cũng đã bị phát hiện và đang được các chuyên gia tiến hành phân tích. Với biến thể này, trình cài đặt trojan có thể cài đặt phần mềm giả mạo có tên Advanced Advanced Cleaner Cleaner (OSX/AMC) hoặc cài đặt tiện ích mở rộng độc hại trình duyệt Safari.
Nhật Minh
Theo SC magazine
08:36 | 12/07/2016
09:53 | 22/08/2017
09:03 | 06/07/2017
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024