Một số ít các mẫu phần mềm độc hại xuất hiện vào năm 2021 một lần nữa chứng minh rằng các công nghệ của Apple, mặc dù ít bị tấn công và xâm phạm hơn hệ thống Windows, nhưng không thể xâm phạm.
Trong năm thứ sáu liên tiếp, nhà nghiên cứu bảo mật Patrick Wardle đã đưa ra một danh sách tất cả các mối đe dọa phần mềm độc hại Mac mới xuất hiện trong suốt một năm. Đối với mỗi mẫu phần mềm độc hại, Wardle xác định vectơ lây nhiễm của phần mềm độc hại, cơ chế cài đặt và tồn tại cũng như các tính năng khác, chẳng hạn như mục đích của phần mềm độc hại. Một ví dụ về từng mẫu phần mềm độc hại Mac mới xuất hiện vào năm ngoái có sẵn trên trang web của anh ấy.
Danh sách của anh ấy được thiết kế để cung cấp cho các chuyên gia bảo mật hiểu rõ hơn về các mối đe dọa nhắm mục tiêu vào macOS vào thời điểm công nghệ này bắt đầu xâm nhập vào doanh nghiệp - phần lớn được thúc đẩy bởi những người làm việc từ xa. Một cuộc khảo sát với 300 chuyên gia CNTT, được ủy quyền bởi nhà cung cấp quản lý thiết bị di động Chữ Kanji năm ngoái, cho thấy việc sử dụng thiết bị của Apple đã tăng 76% trong các tổ chức trong hai năm qua. Năm mươi ba phần trăm báo cáo rằng các yêu cầu đối với thiết bị Apple tại tổ chức của họ đã tăng lên trong cùng khoảng thời gian.
Danh sách của Wardle bao gồm tám mẫu phần mềm độc hại mới xuất hiện vào năm 2021 và nhắm mục tiêu vào macOS. Trong số đó có ElectroRAT, một trojan truy cập từ xa đa nền tảng xuất hiện vào tháng XNUMX năm ngoái; Chim sẻ bạc, một công cụ phần mềm độc hại nhắm mục tiêu cụ thể vào chip M1 của Apple ra mắt năm ngoái; XLoader, một kẻ đánh cắp mật khẩu đa nền tảng; và OSX.CDDS hoặc MacMa, một bộ cấy macOS có thể được phát triển bởi một tổ chức quốc gia-nhà nước.
Các công ty bảo mật và chống vi-rút khác nhau đã phát hiện ra từng mẫu phần mềm độc hại. intezer,
ví dụ: ElectroRAT đã phát hiện ra khi điều tra một hoạt động tiền điện tử trên diện rộng vào tháng 2020 năm XNUMX. Vào thời điểm đó, công ty đã mô tả ElectroRAT là một ví dụ hiếm hoi về một công cụ phần mềm độc hại đã được phát triển từ đầu và được sử dụng để nhắm mục tiêu Windows, Linux và macOS các môi trường.
Chim hoàng yến đỏ Silver Sparrow đã đưa tin vào tháng 1 năm ngoái dưới dạng một tệp nhị phân được biên dịch đặc biệt để chạy trên các chip M29,139 mới ra mắt của Apple. Nhà cung cấp bảo mật cho biết khoảng XNUMX điểm cuối của Mac đã bị ảnh hưởng bởi trình cài đặt phần mềm độc hại, tuy nhiên, không mang lại tải trọng nào. Các nhà nghiên cứu từ Check Point đã phát hiện ra XLoader
đã phát hiện ra nó là một phiên bản của kẻ đánh cắp thông tin nổi tiếng có tên là Formbook đã được viết lại cho macOS.
Các thành viên của nhóm phân tích mối đe dọa của Google đã phát hiện ra MacMa
(OSX.CDDS) khi điều tra các cuộc tấn công lỗ tưới nước tinh vi nhắm mục tiêu khách truy cập vào các trang web Hồng Kông của một cơ quan truyền thông và một nhóm ủng hộ dân chủ. Các nhà nghiên cứu đã phát hiện ra những kẻ tấn công đang khai thác lỗ hổng leo thang đặc quyền zero-day (CVE-2021-30869) trong macOS Catalina, để loại bỏ cửa hậu MacMa. Dựa trên chất lượng của mã tải trọng, Google đã đánh giá phần mềm độc hại là hoạt động của một tác nhân đe dọa có nguồn lực tốt và có khả năng được nhà nước hậu thuẫn.
Các mẫu phần mềm độc hại khác mà Wardle liệt kê trong phần tổng hợp của anh ấy là XcodeSpy, nhắm mục tiêu đến các nhà phát triển Xcode với một cửa sau gọi là EggShell; ElectrumStealer, một công cụ khai thác tiền điện tử mà Apple đã vô tình ký kỹ thuật số; Áp lực hoang dã, một backdoor Python đa nền tảng mà Kaspersky phát hiện nhắm mục tiêu vào các công ty công nghiệp ở Trung Đông; và ZuRu, một công cụ phần mềm độc hại đánh cắp dữ liệu lây lan qua kết quả tìm kiếm được tài trợ trên Baidu và cài đặt tác nhân Cobalt Strike trên các hệ thống bị xâm phạm.
Willy Leichter, CMO tại LogicHub, cho biết các mối đe dọa phần mềm độc hại Mac lớn nhất trong năm ngoái thuộc một số loại: công cụ mã hóa như ElectroRAT và OSAMiner; trình tải phần mềm quảng cáo như Silver Sparrow; những kẻ ăn cắp thông tin nhưXloader và Macma; và Trojan đa nền tảng như WildPressure.
Nhận thức sai lầm kéo dài
Leichter nói: “Vẫn còn tồn tại một nhận thức sai lầm rằng máy Mac vốn đã an toàn hơn hệ thống Windows, do có rất nhiều vụ tấn công. Tâm lý đó phần lớn phản ánh thị phần hiện tại, nơi Windows vẫn thống trị. Ông cho biết thêm: “Mac có một số lợi thế về bảo mật, nhưng chúng ngày càng trở nên kém quan trọng hơn do có hai xu hướng: phần mềm độc hại đang ngày càng nhắm mục tiêu vào các plugin của trình duyệt, chứ không phải hệ điều hành cơ bản. Ngoài ra, ông nói, các nhà phát triển phần mềm độc hại đang ngày càng tạo ra các ứng dụng đa nền tảng độc lập với hệ điều hành.
Jaron Bradley, Giám đốc phát hiện MacOS tại Jamf, cho biết một trong những phát triển đáng chú ý nhất về mối đe dọa Mac vào năm 2021 là lượng nỗ lực đáng kể mà các kẻ đe dọa đã thực hiện để tấn công Mac. Điều này bao gồm việc tìm ra các lỗ hổng zero-day mới và khai thác chúng để phát tán phần mềm độc hại dành riêng cho Mac, ông nói. Ví dụ, Bradley chỉ vào một thời gian bỏ qua XNUMX ngày (CVE-2021-30713) trong khuôn khổ Kiểm soát và Đồng ý Minh bạch (TCC) của Apple mà những kẻ tấn công đã khai thác để cung cấp phần mềm độc hại được gọi là XCSSET.
Bradley nói: “Phần mềm độc hại thực hiện các vòng bỏ qua zero-day cho chúng ta thấy rằng những kẻ tấn công ngày càng có khả năng và hiểu biết hơn về macOS. “Không chỉ vậy, nó còn cho chúng tôi thấy rằng họ tìm thấy giá trị khi thực sự dành thời gian để xây dựng những khai thác này thành công cụ của họ.”
Hiện tại, ít nhất, mối đe dọa phần mềm quảng cáo Bradley tiếp tục là phần mềm độc hại phổ biến nhất trên macOS. “Tuy nhiên, trong suốt năm 2021, chúng tôi cũng đã chứng kiến nhiều mối đe dọa phức tạp hơn xuất hiện với trọng tâm khác biệt là thiết lập điều khiển từ xa máy Mac thông qua cửa hậu,” ông lưu ý, chỉ ZuRu và OSX.CDDS làm ví dụ.
Ông cho biết thêm, xu hướng này đòi hỏi các tổ chức phải quan tâm nhiều hơn đến môi trường macOS. Bradley cho biết: “Trong khi nhiều tổ chức bảo mật trước đây coi macOS và iOS là 'đủ an toàn' với các biện pháp kiểm soát hiện có, thì những kẻ tấn công đang tìm kiếm những thiết bị này mục tiêu béo bở. “Các nhóm bảo mật cần bắt đầu nâng cao hiểu biết kỹ thuật của họ về các nền tảng này ngang bằng với các nền tảng khác để họ có thể xác định các hành vi và cuộc tấn công độc hại”.
