Các tác nhân đe dọa đằng sau hoạt động của ransomware LockBit đã phát triển các công cụ mới có thể mã hóa các tệp trên các thiết bị chạy hệ điều hành macOS của Apple.
Phát hiện được báo cáo bởi MalwareHunterTeam vào cuối tuần qua, đây dường như là lần đầu tiên một nhóm ransomware lớn tạo ra một payload tấn công dựa trên macOS.
Các mẫu dữ liệu (sample) bổ sung do vx-underground xác định cho thấy biến thể macOS đã tồn tại từ ngày 11 tháng 11 năm 2022 và cố gắng tránh bị các công cụ chống phần mềm độc hại phát hiện cho đến nay.
LockBit, nhóm tội phạm mạng có liên kết với Nga đã hoạt động từ cuối năm 2019, đã phát hành hai bản cập nhật lớn cho công cụ mã hóa (locker) vào năm 2021 và 2022.
Theo thống kê do Malwarebytes công bố, LockBit là ransomware được sử dụng nhiều thứ hai vào tháng 3 năm 2023 sau Cl0p, với 93 cuộc tấn công thành công.
Phân tích phiên bản mới ("locker_Apple_M1_64"_) cho thấy phiên bản này vẫn đang trong quá trình hoàn thiện, dựa vào chữ ký không hợp lệ được ký vào tệp thực thi. Điều này có nghĩa là các biện pháp bảo vệ Gatekeeper của Apple sẽ ngăn nó thực thi ngay cả khi phiên bản đó được tải xuống và khởi chạy trên một thiết bị.
Theo nhà nghiên cứu bảo mật Patrick Wardle, payload ban đầu được thiết kế để nhắm mục tiêu đến các máy Windows.
Wardle lưu ý rằng “mặc dù mã độc này có thể chạy trên Apple Silicon, nhưng về cơ bản đó chỉ là phạm vi ảnh hưởng của nó”. “Vì vậy, người dùng macOS hiện tại không cần phải lo lắng quá nhiều về nó!”.
Wardle cũng chỉ ra các biện pháp bảo vệ bổ sung do Apple triển khai, như Bảo vệ toàn vẹn hệ thống (SIP) và Chính sách minh bạch, sự đồng ý và kiểm soát (TCC), có thể giúp ngăn chặn việc thực thi mã trái phép và yêu cầu ứng dụng xin phép người dùng để truy cập các tệp và dữ liệu được bảo vệ.
“Điều này có nghĩa là nếu không có sự khai thác hoặc chấp thuận rõ ràng từ người dùng, các tệp của người dùng sẽ vẫn được bảo vệ”. "Vẫn còn một lớp bảo vệ bổ sung hoặc khả năng phát hiện có thể được đảm bảo".
Đại diện của LockBit cho biết rằng bộ mã hóa macOS "đang được tiếp tục phát triển", cho thấy phần mềm độc hại có khả năng gây ra mối đe dọa nghiêm trọng cho nền tảng.
Những phát hiện này là một dấu hiệu rõ ràng cho thấy các tác nhân đe dọa đang ngày càng nhắm đến các hệ thống macOS.
Người dùng phải luôn xem xét, kiểm tra cẩn thận trước khi cài đặt bất kỳ một phần mềm, ứng dụng mới nào trên thiết bị của mình, và chỉ nên cài đặt chúng từ các nguồn đáng tin cậy.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Phần mềm độc hại đánh cắp thông tin xác thực mới có tên Zaraza bot đang được rao bán trên Telegram
Tín nhiệm mạng | Google đã phát hành các bản cập nhật khẩn cấp để giải quyết một lỗ hổng zero-day đang bị khai thác trong thực tế trong trình duyệt web Chrome.
Tín nhiệm mạng | Microsoft đang cảnh báo về một chiến dịch lừa đảo nhắm vào các công ty kế toán và người khai thuế bằng mã độc truy cập từ xa cho phép truy cập trái phép vào mạng công ty.
Tín nhiệm mạng | OpenAI đã công bố ra mắt chương trình bug bounty mới để cho phép các nhà nghiên cứu bảo mật đã đăng ký tìm kiếm các lỗ hổng trong các sản phẩm của họ và được trả tiền thưởng để báo cáo chúng thông qua nền tảng bảo mật Bugcrowd.
Tín nhiệm mạng | Microsoft đã phát hành một loạt các bản cập nhật bảo mật mới để vá tổng cộng 97 lỗ hổng ảnh hưởng đến phần mềm của họ, một trong số đó đã bị khai thác trong các cuộc tấn công ransomware trong thực tế.
Tín nhiệm mạng | Yum! Brands, chủ sở hữu thương hiệu của chuỗi nhà hàng thức ăn nhanh KFC, Pizza Hut và Taco Bell, hiện đang gửi thư thông báo vi phạm dữ liệu tới những người có thông tin cá nhân bị đánh cắp trong cuộc tấn công ransomware ngày 13 tháng 1
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
