Chương trình diệt virus giả mạo nhắm tới người dùng Mac

Quản Trị Mạng - Theo một chuyên gia nghiên cứu bảo mật, Scammer hiện đang phân phát các phần mềm bảo mật giả mạo nhắm tới người dùng máy tính Mac bằng cách tận dụng tin tức thủ lĩnh nhóm al-Qaeda Osama Bin Laden mới đây đã bị quân đội Mỹ giết.

Một hãng bảo mật chuyên về phần mềm Mac đã gọi động thái này là “một bước chuyển rất lớn” đối với những kẻ tạo malware hướng tới người dùng Mac.

Theo Peter James, nhân viên của Intego (công ty diệt virus có trụ sở tại Pháp), phần mềm diệt virus giả mạo được các chuyên gia bảo mật đặt cho cái tên "rogueware", đã quấy người dùng chạy hệ điều hành Microsoft Windows từ lâu. Tuy nhiên, đây là lần đầu tiên scammer nhằm tới người dùng Mac với một ứng dụng bảo mật khá phức tạp, trông rất chuyên nghiệp.

James nói: “Đây thực sự là một bước chuyển rất lớn đối với malware ở máy tính Mac”.

Phần mềm này (được gọi là MAC Defender) cũng tương tự như "rogueware" đang tồn tại, thuật ngữ đối với các phần mềm bảo mật giả mạo thuyết phục người dùng máy tính cá nhân rằng máy của họ đã bị lây nhiễm malware nặng. Một khi đã cài đặt, phần mềm như này sẽ “làm tình làm tội” người dùng bằng những cửa sổ pop-up chạy khắp màn hình máy tính cùng các thông báo giả cho tới khi họ trả tiền mua phần mềm không đáng này.

Cho tới nay, rogueware có mục tiêu nhắm tới duy nhất là máy tính chạy hệ điều hành Windows.

Theo Kurt Baumgartner, một chuyên gia nghiên cứu malware cao cấp của Kaspersky Lab, thì điều này đã thay đổi. Ông nói rằng một tổ chức phát tán MAC Defender cũng đã từng thực hiện điều này với Windows rogueware.

Ông cho biết: “Chúng đã chuẩn bị cho điều này hàng tháng trời”.

Tháng trước, Baumgartner đã thông báo rằng tên miền ".co.cc" – thường được dùng để phát tán malware và các trang web có mã lây nhiễm tấn công – đã bắt đầu host các trang bảo mật giả mạo và phân phát phần mềm rogueware "Best AntiVirus 2011".

Trong một lần dò tìm qua tên miền .co.cc trong tháng 4 mới đây, Baumgartner tìm thấy một địa chỉ URL rõ ràng là có mục tiêu hướng tới người dùng Mac: "antispyware-macbook(dot)co(dot)cc".

Ông đã nói trên trang blog của mình rằng: “Một điều rất kỳ cục là tổ chức này lại quảng cáo 'Fast Windows Antivirus 2011' từ tên miền của macbook”.

Mới đây, Baumgartner cho biết có một tổ chức đã sử dụng miền .co.cc để phục vụ phần mềm bảo mật giả mạo cho Mac như một phần của kế hoạch lớn hơn nhằm lừa người dùng Windows donwload và cài đặt các phần mềm giả mạo.

Chiến dịch này hiện đang khai thác tin nóng về cái chết của trùm khủng bố Bin Laden để lừa mọi người kích vào các đường link chuyển hướng trình duyệt của họ tới download các phần mềm giả mạo. Scammer đã sử dụng chiến thuật "black hat" SEO (tối ưu hóa công cụ tìm kiếm) để đặt các đường link dẫn tới rogueware lên kết quả tìm kiếm của Google Images.

Dẫu vậy, đây vẫn không phải là cách duy nhất người dùng Mac bị lừa vào việc cài đặt MAC Defender.

Vào hôm thứ 7 tuần trước (30/4), một ngày trước khi tổng thống Mỹ Obama thông báo về cái chết của Bin Laden – message từ người dùng bị lây nhiễm đã lan tràn trên forum hỗ trợ của Apple.

Một người dùng có nickname "wamabahama" đã hỏi: “Macdefender là gì và tại sao nó lại cố gắng tự động cài đặt trên máy tính của tôi?”.

Trên diễn đàn hỗ trợ tương tự, một người có nickname "Mr. Fix It Home Services" đã chia sẻ: “Cháu gái tôi, FYI, nói rằng phần mềm này bắt đầu hoạt động sau khi nó kích vào bức ảnh có tên “hair style photo”. Những người khác báo cáo lại rằng họ gặp vấn đề với MAC Defender sau khi tìm kiếm các bức ảnh về áo khiêu vũ hoặc ảnh về một diễn viên trong phim "Princess Bride”.

Hôm thứ 2 vừa qua, Intego đã đăng tải một bản tư vấn chi tiết về MAC Defender, đáng chú ý là nó “được thiết kế rất tốt và trông rất chuyên nghiệp”.

Theo James, Intego đã phát hiện ra MAC Defender và bắt gặp một số mẫu vào hôm thứ 7. Ông đã chỉ ra rằng người dùng cần phải điền mật khẩu cấp người quản lý để cài đặt phần mềm.

Thực tế, người dùng sẽ thấy một trang chung chung hướng tới Windows mỗi khi họ kích vào đường link tới rogueware. James nói thêm: “Thậm chí họ còn chẳng nhận được nổi một trang dành cho Mac”.

Tuy nhiên, trừ phi người dùng đặt Safari không tự động mở file sau khi download, màn hình cài đặt của MAC Defender sẽ mở ra mà không cần bất kì hành động nào của họ. Chỉ như vậy là đủ để thu hút một số người chấp nhận cài đặt bằng cách điền mật khẩu admin.

Bên cạnh đó, phần mềm này cũng dựa vào một kỹ thuật không được phổ biến lắm nhằm bắt người dùng trả tiền.

James nói: “Cứ vài phút nó lại mở một trang khiêu dâm trên trình duyệt. Chúng ta nghĩ rằng chúng đang làm điều này bởi hầu hết mọi người đều cho rằng điều này có nghĩa là máy tính Mac của họ đã bị nhiễm virus, và họ cần phải loại bỏ nó bằng cách trả phí cho phần mềm này”.

MAC Defender đòi hỏi mức phí $60-$80, phụ thuộc vào người dùng chọn “license” 1 năm, 2 năm hoặc suốt đời.

Đáng buồn thay, chỉ có 8 đến 10 số serial mà MAC Defender chấp nhận. Những số serial này được đóng gói trong một file nhị phân – không được mã hóa – nơi người dùng cao cấp hoàn toàn có thể lấy chúng ra.

James cũng chỉ ra dấu hiệu của MAC Defender mà những kẻ tội phạm mạng này có ý đồ muốn lấy lợi nhuận từ người dùng Mac. Ông nói: “Phần mềm này được tạo bởi một lập trình viên về giao diện Mac rất tinh vi. Dấu hiệu rất hiển nhiên là (scammer) đã bắt đầu nhắm tới máy tính Mac. Các vụ lừa đảo trước đó, ví như vụ MacSweeper diễn ra vào năm 2008 cũng không đáng bận tâm lắm”.

Intego đã chú ý tới MacSweeper, 1 phần mềm dọn dẹp hệ thống giả mạo dành cho Macintosh, vào tháng 1 năm 2008.

MAC Defender cũng gây ra một số phá hoại phụ khác: Nó sử dụng tên giống với tên của một công ty hợp pháp phát triển phần mềm Mac ở Đức.

Trang MacDefender đã cảnh báo: “Một loại ứng dụng mã độc mới có tên MAC Defender (MacDefender.app) dành cho OS X đã xuất hiện một vài ngày trước đây. Nếu bạn thấy bất kì ứng dụng nào có tên như vậy thì đừng nên download hoặc cài đặt nó. Chúng tôi chưa bao giờ cho ra mắt sản phẩm nào có tên như vậy”.

James nói: “Tên của phần mềm giả mạo này có thể là sự kết hợp giữa "PC Defender" và "Windows Defender", các cụm từ được dùng trong tiêu đề của rất nhiều phần mềm diệt virus dành cho Windows".

Người dùng Mac chạy Safari có thể chặn MAC Defender khỏi việc tự động mở sau khi download bằng cách bỏ dấu tích ở mục "Open 'safe' files after downloading" phía cuối thẻ General trong màn hình Preferences của trình duyệt.