Theo báo cáo ngày 2 tháng 7 của SC Media UK, các nhà nghiên cứu bảo mật đã phát hiện các cuộc tấn công phần mềm độc hại trên MacOS nhắm vào người dùng Slack và Discord nói về tiền điện tử.
Remco Verhoef, người sáng lập công ty bảo mật DutchSec, đã đăng tải về phần mềm độc hại trên một bài blog về Bảo mật thông tin và Đào tạo an ninh mạng Sans Institute vào ngày 30 tháng 6.
Theo Verhoef, các cuộc tấn công thường mạo danh quản trị viên hoặc “người chủ chốt” trong các cuộc trò chuyện có liên quan đến crypto. Sau đó, chia sẻ “các đoạn mã nhỏ” để mọi người tải xuống và thực hiện một tệp nhị phân độc hại. SC Media UK lưu ý rằng phần mềm độc hại có thể lấy cắp mật khẩu người dùng và lưu trữ chúng trên máy cục bộ. Các máy này được Verhoef xác định đến từ nhà cung cấp dịch vụ của Đức – CrownCloud, nhưng thực tế trụ sở lại đặt ở Hà Lan.
Vào ngày 29 tháng 6, Patrick Wardle của Digital Security đã đăng trên Objective-See về các cuộc tấn công phần mềm độc hại này. Theo ông, kẻ tấn công dường như yêu cầu người dùng tự lây nhiễm với một con số nhị phân Mach-0* khá lớn.
Wardle kết thúc bài đăng trên blog của mình bằng cách đặt tên cho phần mềm độc hại là ‘OSX.Dummy’.
Vì nhiều lý do, ông đã liệt kê theo các dấu đầu dòng:
- “phương pháp lây nhiễm là câm lặng
- Kích thước lớn của nhị phân là câm lặng
- cơ chế bền bỉ là yếu ớt (và do đó cũng câm lặng)
- các khả năng khá hạn chế (và do đó khá câm lặng)
- nó tầm thường để phát hiện ra mọi bước (câm lặng)
- ...và cuối cùng, phần mềm độc hại lưu trữ mật khẩu của
người dùng để kết xuất.'
Theo nhà phân tích tình báo tại Đơn vị 42, Palo Alto Networks, Alex Hinchliffe, các cuộc tấn công như thế này sẽ ‘cải thiện theo thời gian’. Do đó, xác thực đa yếu tố nên được sử dụng để tham gia vào các phòng trò chuyện.
Đầu ngày hôm nay, có rất nhiều báo cáo về một cuộc tấn công mới đối với người dùng Bitcoin (BTC). Theo ghi nhận, có hơn 2,3 triệu người trở thành mục tiêu theo dõi. Cuộc tấn công bao gồm kiểm soát các bộ nhớ tạm Windows, để đổi địa chỉ BTC của người dùng thành địa chỉ của kẻ tấn công. Tuần trước, một báo cáo an ninh mạng của McAfee Labs cho biết các đợt cryptojacking đã tăng 629% trong quý đầu tiên của năm 2018.
*Mach-0: viết tắt của định dạng tệp đối tượng Mach, là định dạng cho tệp thi hành, mã đối tượng, chia sẻ thư viện, mã được tải động và vùng lõi. Một sự thay thế cho định dạng a.out, Mach-O cung cấp khả năng mở rộng hơn và truy cập nhanh hơn vào thông tin trong bảng biểu tượng.
Theo cointelegraph
