Các chuyên gia bảo mật của Sophos có trụ sở tại Anh và nhà cung cấp phần mềm chống virus F-Secure của Phần Lan vừa đưa ra cảnh báo với người dùng Mac về một trojan horse mới tấn công dưới hình thức như là một tài liệu PDF.
Phần mềm độc hại này sử dụng một kỹ thuật dài được thực hiện bởi kẻ tấn công Windows, yêu cầu người dùng mở một file PDF có chứa phần mở rộng là một file “.pdf.exe” dưới biểu tượng PDF đi kèm. Cách thức này dựa vào phương pháp gọi là “double extension” cho phép thêm khác ký tự vào tên tập tin để che giấu một tập tin thực thi PDF.
Phần mềm độc hại Mac sử dụng một quá trình với hai bước, bao gồm một trojan cửa trước có chức năng tải một cách nhỏ gọn các mã độc vào hệ thống và một trojan cửa sau có chức năng kết nối với một máy chủ điều khiển từ xa bởi những kẻ tấn công. Phương thức tấn công bằng cách sử dụng kênh thông tin liên lạc để gửi thông tin lượm lặt từ máy Mac bị nhiễm bệnh và nhận được hướng dẫn bổ sung từ các hacker.
Bởi vì mã độc này không khai thác một lỗ hổng trong Mac OS X hoặc bất kỳ phần mềm khác nên chúng đã lừa được người dùng tải về và mở tập tin PDF tưởng như không có vấn đề gì nhưng thực chất đó là một tập tin thực thi.
Theo F-Secure thì sau khi người dùng mở tập tin PDF này sẽ nhận được một nội dung toàn tiếng Trung, sau đó sử dụng cách biện pháp đánh lạc hướng người dùng để họ không nhận thấy bất kỳ hoạt động khác đang xảy ra trên máy tính của mình.
Cả Sophos và F-Secure đều ghi nhận rằng các phần mềm độc hại này hiện không làm việc thực sự đáng tin cậy và chúng cũng không thể kết nối với máy chủ lệnh và kiểm soát (C&C). Phần mềm độc hại hoạt động trên máy Mac thường là khá thô so với trên máy tính Windows.
Bởi vì máy chủ C&C chưa hoạt động nên các trojan mẫu ngay lập tức có thể phát triển trên VirusTotal, một dịch vụ kiểm tra chống phần mềm độc hại hoạt động trên máy tính. Trang web phát hiện phần mềm độc hại này vẫn trong giai đoạn phát triển.
Mặc dù người dùng Mac OS X của Apple được bao gồm một bộ máy phát hiện chống virus từ quả táo nhưng thực sự hệ điều hành này vẫn chưa được cập nhật để phát hiện mã độc nói trên. Kiểm tra trên một số máy Mac chạy Lion thì hầu hết thông tin phiên bản cập nhật mới nhất là vào ngày 9/8 mà thôi.
Người dùng máy Mac hiện đã phát hiện ra một số phần mềm độc hại tấn công vào mình, tiêu biểu có thể kể đến một loạt các chương trình bảo mật giả mạo hồi đầu năm nay có tên gọi là scareware đã nhằm vào họ. Hiện mới chỉ có một số công ty phòng chống virus như Sophos, F-Secure và Intego mới cung cấp phần mềm bảo mật cho Mac.