Phanh phui cơ chế hoạt động ngầm của Trojan Flashback

Cơ chế hoạt động ngầm của Trojan Flashback - loại phần mềm độc hại ẩn trong vỏ bọc là trình cài đặt Adobe Flash Player giả mạo, có khả năng đánh cắp tên người dùng và mật khẩu - vừa bị hãng bảo mật Symantec phanh phui.

Symantec đã phân tích khá tỉ mỉ về quá trình biến thể của Trojan Flashback bắt đầu khai thác lỗ hổng bảo mật Java và âm thầm tấn công các cỗ máy chạy hệ điều hành Mac OS X để "ăn trộm" tiền thông qua cách "tận dụng" các click quảng cáo.

Theo đó, OSX.Flashback.K được tải về trên máy tính của người dùng thông qua một ổ đĩa tải của các tập tin JAR độc hại (những tập tin JAR độc hại khai thác từ xa Oracle Java SE Java Runtime để thả các tập tin đã được giải mã vào máy tính bị nhiễm).

Phần mềm độc hại này nhắm tới 2 loại hành động của người dùng là nhấp chuột vào 1 quảng cáo của Google hoặc thực hiện 1 thao tác tìm kiếm trong công cụ tìm kiếm.

Mỗi khi người dùng thấy kết quả tìm kiếm đáp ứng với truy vấn tìm kiếm của họ thì tác giả của phần mềm độc hại lại được nhận tiền cho mỗi nhập chuột này. Nói cách khác, dịch vụ pay-per-click chính thống đã bị "hớt tay trên" bởi dịch vụ pay-per-click OSX.Flashback.K.

Cũng theo Symantec, hacker đã sử dụng 2 phương thức tấn công gồm tạo ra các thông điệp trên Twitter có chủ đích và một giải thuật sinh tên miền cho phép sản sinh ra những địa chỉ máy chủ điều khiển theo lệnh.

Việc sử dụng các kỹ thuật như thuật toán thế hệ miền và mật mã khóa công khai cho thấy tác giả Trojan Flashback rất thành thạo trong việc tạo ra những phần mềm độc hại. Rất có thể tác giả này đã từng tạo ra phần mềm độc hại tương tự trong hệ điều hành khác.

Cách đây gần 1 tháng, Symantec cho biết lượng máy tính bị lây nhiễm bởi phần mềm độc hại Flashback đã giảm xuống còn khoảng 270.000 máy, so với con số 600.000 máy ở thời điểm ban đầu (cuối năm 2011). Tuy nhiên, phần mềm độc hại này không chỉ nhắm tới mục tiêu duy nhất là hệ điều hành Mac mà đã chuyển hướng sang cả hệ điều hành Windows.

Symantec tiếp tục khuyến cáo rằng không có một hệ điều hành nào trên thế giới miễn nhiễm với các cuộc tấn công từ phần mềm độc hại và bất kỳ một thiết bị nào kết nối với Internet đều cần có các biện pháp bảo mật phòng ngừa.

Ngày 18/4/2012, Công ty An ninh mạng Bkav đã công bố chính thức phát hành công cụ miễn phí giúp người dùng máy tính tiêu diệt được Flashback.

Nhưng vẫn còn nhiều người cho rằng nguy cơ bị tấn công bởi Flashback vẫn còn tiềm ẩn và có thể "bộc phá" bất cứ lúc nào.