Theo nguồn tin từ TechRadar đưa tin, các nhà nghiên cứu đã cảnh báo về một phần mềm gián điệp có tên Cuckoo trên hệ thống MacOS của Apple. Cuckoo có thể tồn tại lâu dài trên các máy tính mục tiêu và hoạt động như một phần mềm gián điệp, có khả năng thu thập thông tin từ các máy chủ đã bị nhiễm.
Cụ thể, phần mềm này hoạt động như một công cụ gián điệp trên các máy Mac dựa trên cả Intel và Arm và được phân phối thông qua các trang web như dumpmedia[.]com, tunesolo[.]com, Fonedog[.]com, tunesfun[.]com và tunefab[.]com, các trang này thường cung cấp các dịch vụ trích xuất nhạc từ các nền tảng phát trực tuyến.
 |
Phát hiện phần mềm độc hại đánh cắp thông tin người dùng macOS. Ảnh minh họa |
Cuckoo sử dụng kỹ thuật LaunchAgent để duy trì sự tồn tại trên hệ thống, cùng với việc sử dụng osascript để hiển thị lời nhắc mật khẩu giả, nhằm lừa người dùng cung cấp mật khẩu. Ngoài ra, nó còn thực hiện các lệnh để trích xuất thông tin từ hệ thống, bao gồm cả thông tin phần cứng và dữ liệu từ iCloud Keychain, Apple Notes, và các ứng dụng như Discord, FileZilla, Steam và Telegram.
Bên cạnh đó, một mã độc khác là CloudChat đã được công bố, chuyên giả mạo ứng dụng nhắn tin và có thể ảnh hưởng đến người dùng MacOS. Nó liên quan đến một biến thể mới của phần mềm độc hại AdLoad (Rload hoặc Lador), có thể tránh được danh sách chữ ký phần mềm độc hại của Apple XProtect.
MacOS có một loạt ứng dụng đa dạng, làm cho việc xác định tính an toàn của chúng trở nên khó khăn đối với người dùng. Do đó, người dùng được khuyến cáo cần thận trọng khi tải ứng dụng từ các trang web không rõ nguồn gốc.
Trước đây, Cuckoo thường được phát tán thông qua các phần mềm giả mạo, chẳng hạn như chương trình đội lốt khả năng rip nhạc từ các dịch vụ streaming thành tệp tin MP3.
Giờ đây, trong chiến dịch độc hại mới, kẻ tấn công sử dụng phương thức tinh vi hơn là lợi dụng quảng cáo của Google (Google Ads poisoning). Chúng có thể đã truy cập vào các tài khoản Google Ads đang hoạt động và điều chỉnh các chiến dịch quảng cáo có sẵn, hoặc tạo ra các chiến dịch mới để hướng lưu lượng truy cập đến trang web giả mạo.
Để bảo vệ bản thân khỏi nguy cơ bị tấn công bởi Cuckoo, các nhà nghiên cứu bảo mật khuyên người dùng nên tránh thói quen sử dụng Google Search để truy cập các trang web. Thay vào đó, hãy tự nhập địa chỉ trang web hoặc sử dụng tính năng đánh dấu trang (bookmark) của trình duyệt để truy cập đúng vào các trang web hợp pháp.
