Một malware ít thấy có thể chiếm quyền kiểm soát webcam, màn hình, chuột, bàn phím và cài đặt các phần mềm nhiễm độc đã xâm nhập hàng trăm máy Mac trong hơn 5 năm, và chỉ vừa mới được phát hiện cách đây vài tháng.
Có tên FruitFly, malware trên máy Mac này được phát hiện đầu năm nay bởi nhà nghiên cứu ở Malwarebytes Thomas Reed và Apple đã nhanh chóng đưa ra bản vá bảo mật để giải quyết malware nguy hiểm này. Vài tháng sau, Patrick Wardle, vốn là hacker của NSA và giờ là trưởng nhóm nhóm nghiên cứu tại công ty an ninh mạng Synack, đã phát hiện khoảng 400 máy Mac bị nhiễm một biến thể khác của malware FruitFly (FruitFly 2).
Wardle cho rằng số máy Mac bị nhiễm FruitFly có thể còn cao hơn bởi anh chỉ có thể truy cập một số máy chủ được dùng để kiểm soát FruitFly. Dù vẫn chưa rõ ai là người đứng sau FruitFly và bằng cách nào mà nó xâm nhập được vào máy Mac, các nhà nghiên cứu cho rằng malware này đã hoạt động khoảng 10 năm vì một số đoạn code của nó có tuổi đời từ 1998.
“FruitFly, malware đầu tiên trên OS X/macOS của năm 2017, rất gây tò mò. Được lựa chọn để nhắm tới các trung tâm nghiên cứu y sinh, nó được cho là đã hoạt động mà không ai biết tới trong nhiều năm”. Wardle viết trong phần mở đầu bài nói của mình.
Vì cách xâm nhập của FruitFly vẫn chưa rõ, như nhiều malware khác, FruitFly có thể lây nhiễm qua website nhiễm độc hoặc email giả mạo hoặc các ứng dụng bẫy.
Nhiều máy Mac nhiễm malware FruitFly
ruitFly là malware gián điệp có khả năng thực thi lệnh shell command, di chuyển và click chuột, chụp ảnh webcam, dừng các tiến trình trên máy tính (kill process), có được thời gian chạy của hệ thống, lấy lại ảnh chụp màn hình và thậm chí là cảnh báo hacker khi nạn nhân hoạt động trở lại trên máy Mac.
“Lý do duy nhất tôi có thể nghĩ ra vì sao malware này chưa được phát hiện là vì nó được dùng trong các vụ tấn công có lựa chọn đói tượng rất chặt chẽ, giới hạn mức độ lây nhiễm”, Reed viết trên blog tháng Một. “Dù không có bằng chứng nào kết nối malware này với bất kì nhóm nào, nhưng vì nó vốn được dùng tại viện nghiên cứu y sinh nên có lẽ nó là kết quả của hoạt động gián điệp nào đó”.
Wardle có thể tìm ra các nạn nhân của FruitFly sau khi đăng ký máy chủ điều khiển qua lệnh (Command and Control Center C&C) vốn được dùng bởi kẻ tấn công. Sau đó anh đã thấy khoảng 400 người dùng Mac bị nhiễm FruitFly kể từ khi kết nối tới máy chủ đó.
Từ đó, nhà nghiên cứu có thể thấy được địa chỉ IP của nạn nhân nhiễm FruitFly, trong đó 90% nạn nhân ở Mỹ. Wardle thậm chí còn thấy được tên nạn nhân, rất dễ biết chính xác ai là người bị nhiễm malware.
Thay vì chiếm quyền kiểm soát máy tính hay gián điệp trên máy nạn nhân, Wardle đã liên hệ với cảnh sát và chuyển giao những gì mình tìm thấy. Wardle cho rằng giám sát là mục đích chính của FruitFly, dù vẫn chưa rõ đó là chính phủ hay nhóm hacker.
“Trông có vẻ không giống hành vi của tội phạm mạng, không hề có quảng cáo, thao dõi thao tác bàn phím hay ransomware”, Wardle nói. “Những gì nó làm khiến nó giống như hỗ trợ tương tác, nó có thể cảnh báo kẻ tấn công khi người dùng hoạt động trên máy, giả click chuột hoặc bàn phím”.
Vì code của FruitFly còn bao gồm cả shell command Linux, malware có thể làm việc trên cả hệ điều hành Linux. Vậy nên cũng sẽ không ngạc nhiên gì nếu biến thể Linux của FruitFly xuất hiện.