(Không gian mạng) - Ngày 11/01, nhà nghiên cứu Patrick Wardle công bố phân tích về một mã độc mới được thiết kế để chiếm quyền điều khiển các thiết lập DNS trên các thiết bị macOS. Mã độc này cũng còn những khả năng khác, nhưng chúng dường như chưa hoạt động.

Phát hiện mã độc MaMi cho phép tin tặc chỉnh sửa thiết lập DNS

Phát hiện mã độc MaMi cho phép tin tặc chỉnh sửa thiết lập DNS

Mã độc được Wardle đặt tên là OSX/MaMi dựa theo một core class có tên “SBMaMiSettings” và hiện nay chỉ được phát hiện – ít nhất là dựa trên chữ ký của nó – bởi các sản phẩm ESET và Ikarus dưới các tên như OSX/DNSChanger.A và Trojan.OSX.DNSChanger. Tuy nhiên, các nhà cung cấp khác có thể sẽ tạo ra chữ ký cho nó trong thời gian sắp tới.

Nhà nghiên cứu đã thu được một mẫu của MaMi sau khi một người dùng báo cáo trên các diễn đàn Malwarebytes cho biết máy Mac của một giáo viên đã bị nhiễm mã độc. Người dùng báo cáo rằng các máy chủ DNS trên hệ thống bị xâm nhập được đặt thành 82.163.143.135 và 82.163.142.137, và dù đã bị gỡ bỏ nhưng chúng vẫn tiếp tục đổi lại.

Wardle không thể xác định cách thức mã độc này được phân phối, nhưng ông đã tìm thấy nó trên một số trang web và cho rẳng MaMi có thể được gửi qua email, cảnh báo an ninh giả mạo và cửa sổ thông báo (pop-up) trên các trang web, hoặc thông qua các cuộc tấn công dùng kỹ thuật xã hội (social engineering).

Mẫu MaMi được Wardle phân tích có hoạt động như một công cụ chiếm quyền DNS, nhưng nó cũng chứa code để chụp màn hình, nhấp chuột, tải lên/xuống các tập tin, và thực thi lệnh.

Tuy nhiên, MaMi dường như không thực hiện bất kỳ chức năng nào trong số những chức năng này, nhưng theo Wardle thì có khả năng những chức năng này yêu cầu một số đầu vào (imput) theo yêu cầu của kẻ tấn công hoặc các điều kiện khác mà máy ảo của Wardle không thề đáp ứng. Nhà nghiên cứu cho biết ông sẽ tiếp tục điều tra.

Sau khi lây nhiễm vào hệ thống, mã độc truy vấn công cụ bảo mật và sử dụng nó để cài đặt một chứng chỉ mới được tải về từ xa.

Wardle giải thích: “OSX/MaMi không có gì tiên tiến – nhưng nó lại thay đổi các hệ thống bị nhiễm theo những cách gây khó chịu và dai dẳng. Bằng cách cài đặt một chứng chỉ root mới và chiếm quyền kiểm soát các máy chủ DNS, tin tặc có thể thực hiện nhiều hành động bất chính như can thiệp lưu lượng (để có thể để lấy cắp thông tin hoặc phát quảng cáo).”

Cách đơn giản nhất để xác định được hệ thống macOS có bị nhiễm MaMi là kiểm tra xem DNS có bị cài đặt là 82.163.143.135 và 82.163.142.137 hay không. Hiện tại, mã độc này dường như không được thiết kế để nhắm mục tiêu thiết bị Windows.

Phần mềm độc thay đổi DNS nổi tiếng nhất là DNSChanger, đây là một mối đe dọa tung hoành cho tới năm 2011, chuyên thay đổi cài đặt DNS để phục vụ cho các kế hoạch gian lận nhấp chuột và lừa đảo. DNSChanger tấn công cả máy Windows và OS X, từng khiến hàng triệu thiết bị trên toàn thế giới đứng trước nguy cơ mất kết nối Internet cho đến khi các cơ quan chức năng đánh sập được cơ sở hạ tầng của mã độc này.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm:
Thích và chia sẻ bài này trên