Hệ điều hành MacOS của Apple thường được xem như tương đối an toàn khi ít gặp phải các vấn đề về mã độc như đối thủ Windows. Tuy nhiên mới đây, công ty cổ phần an ninh mạng Việt Nam VSEC đã phát đi cảnh báo về một loại mã độc tống tiền mới, được phát hiện trên hệ điều hành này.
Có tên gọi OSX.ThiefQuest (hay EvilQuest), mã độc này có khả năng chiếm quyền điều khiển máy tính nạn nhân, mã hóa toàn bộ tệp tin quan trọng và gửi đến một thông điệp tống tiền nếu muốn khôi phục dữ liệu.
Để lừa người dùng tải về máy tính, tin tặc sẽ đóng gói mã độc OSX.ThiefQuest trong một phần mềm mạo danh tên là Little Snitch – phần mềm có chức năng chính là theo dõi và quản lý các kết nối ra ngoài Internet, được sử dụng rộng rãi trên các thiết bị sử dụng MacOS trên thế giới.
Sau khi đã lừa nạn nhân tải về máy và cài đặt phần mềm, mã độc này sẽ tạo trên hệ thống những tập tin như một bộ cài thông thường. Tinh vi hơn, trình cài đặt này còn chứa một tập lệnh được thực thi sau khi quá trình cài đặt hoàn tất để thực hiện đổi tên và xóa dấu vết nhằm lừa người dùng.
Mã độc được đóng gói trong một phần mềm mạo danh có tên Little Snitch.
Khi quá trình lây nhiễm được kích hoạt bởi trình cài đặt, phần mềm độc hại bắt đầu tự phát tán một cách tự do xung quanh ổ cứng, máy tính của nạn nhân sẽ bị mã các hóa dữ liệu quan trọng trong 3 ngày sau đó.
Cẩn thận hơn, loại mã độc này còn cài đặt các file thực thi tại những vị trí dễ khiến người dùng vô tình kích hoạt như trong những tập tin khởi động của hệ thống hay các tác nhân trình nền (daemon plist files), hành động này nhằm tạo phương án dự phòng trong trường hợp chương trình tấn công đã kích hoạt trước đấy bị lỗi. Sau khi quá trình mã hóa hoàn tất, một tệp tin tống tiền được tạo ra để hướng dẫn người dùng cách chuộc lại những dữ liệu đã bị mã hóa trong máy.
Thông điệp đòi tiền chuộc của hacker
Thậm chí, các nhà nghiên cứu cũng chỉ ra rằng phần mềm độc hại này có khả năng mở một reverse shell cho máy chủ chỉ huy và điều khiển để thực hiện các hành động thực thi mã lệnh từ xa nhằm chiếm quyền điều khiển máy tính nạn nhân.
Hơn nữa, mã độc OSX.ThiefQuest đã được trang bị những kĩ thuật chống khả năng bị phân tích. Trong trường hợp người dùng sử dụng các trình phân tích mã độc hay trình gỡ lỗi cho máy tính, mã độc này thường sẽ không hiển thị đầy đủ các khả năng của nó.
Ông Trương Đức Lượng – TGĐ Công ty Cổ phần An Ninh Mạng Việt Nam VSEC cho biết: "Trên thực tế, bộ cài đặt nguyên bản của Little Snitch được đóng gói một cách chuyên nghiệp và dễ nhận biết, với khả năng tùy chỉnh cài đặt và có mã kí của nhà phát hành. Còn bộ cài đặt có mã độc chỉ là gói cài đặt đơn giản, có biểu tượng chung của Apple. Tuy nhiên người dùng khá chủ quan khi download và cài đặt các phần mềm dịch vụ về máy kể cả từ các nguồn không uy tín".
Trong khi các giải pháp ngăn chặn mã độc này chưa được Apple cung cấp, các chuyên gia bảo mật VSEC khuyến cáo, người dùng có thể tự bảo vệ mình bằng cách xác định rõ nguồn gốc và chỉ tải file về từ các trang uy tín, luôn đọc kỹ các điều khoản và quy định của các ứng dụng/phần mềm trước khi tải về.
Ngoài ra một biện pháp hữu hiệu khác là bạn nên có ít nhất 2 bản sao lưu đối với mỗi dữ liệu quan trọng, trong đó một bản luôn nằm trong một bộ nhớ ngoài không được kết nối trực tiếp với máy tính của mình mọi lúc. Nếu bạn có bản sao lưu tốt, ransomware không phải là mối đe dọa đối với bạn. Trong trường hợp tệ nhất, bạn chỉ cần xóa ổ cứng và khôi phục dữ liệu từ bản sao lưu. Ngoài ra, những bản sao lưu đó cũng bảo vệ bạn trước những thứ như lỗi ổ đĩa, trộm cắp, hư hỏng thiết bị..v..v.