VnReview
Hà Nội

Phát hiện malware lừa đảo mới trên Mac, "gà mờ" dễ sập bẫy

Đây là lời nhắc nhở đến những người sử dụng Mac ít kinh nghiệm hãy luôn dùng các ứng dụng chính thức từ Mac App Store nhằm phòng ngừa tối đa các loại mã độc nguy hiểm.

Nếu đã có kinh nghiệm sử dụng lâu năm, hoặc đơn giản chỉ là một người dùng cảnh giác cao thì chắc chắn bạn đã quen thuộc với các loại malware chuyển hướng người dùng đến các trang web giả mạo rồi "dụ" họ tải về các phần mềm độc hại. Song, một loại malware mới phát hiện cũng có cách hoạt động tương tự như vậy lại dễ dàng khiến những người không có nhiều kinh nghiệm "dính chưởng".

Theo trang tin 9to5mac, trưởng bộ phận nghiên cứu của Malwarebytes, Thomas Reed đã tìm ra loại mã độc này trên một trang web lừa đảo được lưu trong trang web chính thức của ứng dụng Advanced Mac Cleaner dành cho Mac OS X.

Người dùng ngây thơ sẽ dễ dàng tin lời dụ dỗ cài đặt Advanced Mac Cleaner trên trang web này. Tuy nhiên, ứng dụng còn "khuyến mãi" cho người dùng một phần mềm khác mang tên Mac File Opener sau khi cài đặt xong, đây chính là ứng dụng lừa đảo.

Tuy vậy, Reed lại chưa rõ làm thế nào ứng dụng này có thể buộc người dùng khởi động nó:

"Điều thú vị là Mac File Opener không có bất kỳ cơ chế rõ ràng nào để có thể tự khởi động. Nó không hề thêm bất cứ thứ gì vào mục đăng nhập, cũng không có bất cứ hành động tự khởi động hoặc tạo một tác vụ lạ nào trên máy của tôi. Dường như nó chỉ ở một chỗ và không làm gì cả."

Sau khi tìm hiểu sâu hơn, Reed phát hiện file Info.plist trong ứng dụng này bao gồm danh sách 232 định dạng tập tin khác nhau có thể mở được. Nếu người dùng cố gắng mở một tập tin mà định dạng của nó không có ứng dụng nào khác hỗ trợ thì nó sẽ được mở bằng Mac File Opener.

Khi được chạy, Mac File Opener sẽ hiển thị hộp thoại giả mạo thông báo không có ứng dụng thích hợp nào được cài đặt có thể mở định dạng file đang có, cùng lời chào mời tải phần mềm phù hợp bằng tùy chọn Search Web.

Hộp thoại giả mạo (ở dưới) và hộp thoại đúng của Mac (ở trên)

Hộp thoại cảnh báo "chính chủ" của Mac OS sẽ có đường dẫn Search App Store (tìm kiếm trên App Store), còn hộp thoại giả lại có đường dẫn Search Web (tìm kiếm trên web).

Hộp thoại giả mạo được liên kết với trang web macfile******.com, sau khi được truy cập, máy sẽ tải về các ứng dụng rác PCVARK như Mac Adware Remover hoặc Mac Space Reviver. Tất cả chúng đều có chứng chỉ hợp lệ của Apple, do đó hệ thống sẽ tự động cài đặt mà không có bất kỳ cảnh báo độc hại nào.

Đây cũng là lời nhắc nhở đến những người sử dụng Mac ít kinh nghiệm hãy luôn dùng các ứng dụng chính thức từ Mac App Store, từ đó sẽ dễ dàng phát hiện các thông báo giả mạo và phòng tránh chúng. Mặc dù Mac có rất ít phần mềm độc hại, nhưng không phải là không có. Một phần do hệ điều hành Mac OS không phổ biến nhiều như Windows nên ít bị hacker và kẻ xấu "sờ" tới.

Phúc Thịnh

Chủ đề khác