Không chỉ tấn công hàng loạt máy MacBook, Silver Sparrow (tên gọi của phần mềm độc hại mới) còn phát tán và che giấu các hành động gần như khiến các chuyên gia an ninh mạng mất cảnh giác. Hơn nữa, họ không những không kiểm soát được đường truyền của “chim sẻ bạc” mà vẫn không biết mục đích cuối cùng của nó.
Nói cách khác, nó không chỉ có thể "thổi bay" dữ liệu bất cứ lúc nào mà còn có thể tự xóa mình xóa dấu vết sau khi "phạm tội".
Quả bom "nổ tung" bất cứ lúc nào
Có gì độc đáo về loại phần mềm độc hại mới được gọi là "chim sẻ bạc" này? Trước hết, đây là một phần mềm độc hại được viết bằng Java, rất hiếm đối với MacOS. Ngoài ra, nó cũng cập nhật một phiên bản phần mềm dành riêng cho M1. Trong số hai phiên bản hiện tại của phần mềm, một phiên bản dành cho các thiết bị Mac dòng Intel và phiên bản còn lại dành cho các thiết bị Mac dựa trên M1 trở lên.
Phần mềm này có tốc độ lây lan cao, độ phủ rộng, khả năng tương thích mạnh mẽ với M1, kết quả hoạt động tốt, điều quan trọng nhất là các chuyên gia vẫn chưa khám phá ra cách thức lây lan của nó. Các chuyên gia nhận thấy rằng cơ sở hạ tầng của Silver Sparrow được lưu trữ trên Amazon Web Services s3, đây là tài nguyên đám mây mà hầu hết các công ty đang sử dụng.
Điều đáng sợ ở Silver Sparrow là các nhà nghiên cứu bảo mật đã phát hiện ra rằng nó vẫn đang trong thời kỳ ngủ yên (chưa phát hiện ra trọng tải của nó). Hơn nữa, "Silver Sparrow" còn có chương trình "tự hủy", có thể tự xóa mình sau khi thực tế mà không để lại bất kỳ dấu vết nào. Phần mềm độc hại này chỉ gửi một thông báo đến máy chủ mỗi giờ mà không có bất kỳ hành động lớn nào, nhưng một khi các điều kiện kích hoạt được đáp ứng, nó sẽ gây ra hậu quả nghiêm trọng.
Cách kiểm tra máy Mac
Cho đến nay, các nhà nghiên cứu vẫn chưa biết công dụng của vector tấn công (Attack the Vector) "chim bạc" là gì . Vector tấn công đề cập đến một đường dẫn hoặc phương tiện mà qua đó tin tặc có thể truy cập vào máy tính hoặc máy chủ mạng để cung cấp tải trọng hoặc kết quả độc hại.
Vector tấn công đề cập đến một đường dẫn hoặc phương tiện mà qua đó tin tặc có thể truy cập vào máy tính hoặc máy chủ mạng để cung cấp tải trọng hoặc kết quả độc hại. Do đó, không rõ "con chim bạc" nhắm mục tiêu gì mà chỉ có thể suy đoán rằng nó có thể là một phần mềm quảng cáo độc hại. Tuy nhiên, họ phát hiện ra rằng Silver Sparrow tạo ra một tệp plist trong thư mục Library/LaunchAgent. Nói cách khác, chỉ cần bạn nhìn thấy tệp này, máy tính của bạn đã bị nhiễm virus.
Để tạm thời phòng chống phần mềm độc hại này. Đầu tiên, hãy cập nhật hệ điều hành, trình duyệt và phần mềm khác. Ngoài ra, bạn có thể cài đặt uBlock Origin, một tiện ích mở rộng lọc nội dung trình duyệt và trình chặn quảng cáo như AdGuard Home. Thứ hai, cài đặt tường lửa, cư dân mạng này đã đề xuất Little Snitch, có thể được sử dụng để giám sát các ứng dụng nhằm ngăn chặn hoặc cho phép chúng kết nối với mạng thông qua các quy tắc nâng cao. Cuối cùng, không cài đặt phần mềm không rõ nguồn gốc.
Thật trùng hợp. Silver Sparrow không phải là phần mềm độc hại đầu tiên nhắm vào máy Mac dòng M1. Trên thực tế, chỉ một tuần trước, ai đó đã phát hiện ra một phần mềm độc hại khác GoSearch22 nhắm mục tiêu vào M1. Đây là "phiên bản nâng cấp" của phần mềm quảng cáo độc hại Pirrit, với những sửa đổi tương ứng đối với kiến trúc ARM64 mà M1 mang theo. GoSearch22 có thể tiếp tục tấn công các thiết bị Mac và người dùng thông thường rất khó xóa nó.
Nó sẽ tự ẩn mình dưới dạng “tiện ích mở rộng trình duyệt”, thu thập dữ liệu từ Safari, Chrome và các trình duyệt Mac khác, sau đó buộc hiển thị phiếu giảm giá, biểu ngữ quảng cáo và cửa sổ bật lên độc hại. Các nhà nghiên cứu suy đoán rằng mục đích của GoSearch22 là thu lợi nhuận từ các quảng cáo và kết quả tìm kiếm của người dùng, ngoài ra, nhiều tính năng độc hại có thể sẽ được phát triển trong tương lai.
Hiện tại, Apple đã thu hồi chứng chỉ nhà phát triển được sử dụng bởi các nhà phát triển Pirrit. Nhưng những phần mềm độc hại này lần lượt xuất hiện, buộc bộ máy diệt virus phải nâng cấp.
Phần mềm chống virus cần được nâng cấp khẩn cấp
Mới tuần trước, các chuyên gia đã sử dụng GoSearch22 để kiểm tra hàng loạt công cụ chống virus. Họ phát hiện ra rằng gần 15% công cụ chống virus không phát hiện được sự tồn tại của GoSearch22, nhưng về cơ bản chúng có thể phát hiện ra phiên bản trước của Pirrit.
Nói cách khác, công cụ chống virus hiện tại vẫn đang bảo vệ nền tảng x86_64, nhưng không có phần mềm độc hại nào được viết dựa trên kiến trúc ARM. Điều này có nghĩa là các công cụ phân tích virus này hoặc công cụ chống virus được viết cho nền tảng x86_64 có thể không xử lý được các tệp nhị phân ARM64.
Do đó, khả năng phát hiện những phần mềm độc hại này được viết cho kiến trúc ARM (Silver sparrow, GoSearch22, v.v.) đã trở thành một tiêu chuẩn mới để đánh giá phần mềm chống virus.