Công ty an ninh mạng Kaspersky mô tả phần mềm độc hại GravityRAT là "khét tiếng" vì nó đã được sử dụng trong các cuộc tấn công thậm chí chống lại các mục tiêu quân sự và cho phép kiểm soát tuyệt vời. Cho đến ngày nay loại virus này chỉ có trên máy tính Windows và thiết bị Android. Tuy nhiên, và mặc dù máy Mac có ít hệ điều hành dễ bị tấn công hơn những hệ điều hành khác, nhưng điều đó không có nghĩa là chúng không thể bị tấn công. Trong thực tế, Loại virus nguy hiểm này đã xâm nhập vào hệ điều hành macOS.
Thông tin cơ bản về phần mềm độc hại GravityRAT
Vào năm 2018, các nhà nghiên cứu của Cisco Talos đã công bố rằng phần mềm gián điệp GravityRAT đang được sử dụng để tấn công các lực lượng vũ trang Ấn Độ. Đội Ứng cứu Khẩn cấp Máy tính (CERT-IN) của quốc gia đó lần đầu tiên phát hiện ra Trojan vào năm 2017. Người tạo ra nó được cho là nhóm hacker Pakistan. Chiến dịch đã hoạt động ít nhất từ năm 2015 và trước đó đã nhắm mục tiêu đến các máy Windows. Tuy nhiên, nó đã trải qua những thay đổi vào năm 2018 và các thiết bị Android đã được thêm vào danh sách mục tiêu.
Vào năm 2019, tội phạm mạng đã thêm một mô-đun gián điệp vào Travel Mate, một ứng dụng Android dành cho khách du lịch đến Ấn Độ, mã nguồn của ứng dụng này có sẵn trên Github. Họ đã thêm mã độc và đổi tên nó là Travel Mate Pro.
Các chức năng của phần mềm khá bình thường. Gửi đến máy chủ quản lý của bạn dữ liệu thiết bị chứa:
- Danh sách địa chỉ liên lạc
- Địa chỉ của e-mail
- Hồ sơ của cuộc gọi và tin nhắn tin nhắn
- có được một danh sách các quy trình đang chạy
- Đánh chặn tổ hợp phím
- để lấy ảnh chụp màn hình
- chạy lệnh shell Bất kỳ
- Ghi lại âm thanh (không được triển khai trong phiên bản này)
- Quét các cổng
- Trojan tìm kiếm các tệp có phần mở rộng .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx và .opus trong bộ nhớ thiết bị và phương tiện được kết nối, và cũng gửi chúng đến máy chủ quản lý.
Vào năm 2019, "The Times of India" đã xuất bản một artículo về các phương pháp mà tội phạm mạng sử dụng để phân phối GravityRAT trong năm 2015-2018. tôi biết liên hệ với nạn nhân từ một tài khoản Facebook giả mạo và họ được yêu cầu cài đặt một ứng dụng độc hại được ngụy trang thành một sứ giả an toàn để tiếp tục cuộc trò chuyện. Khoảng 100 trường hợp lây nhiễm đã được xác định trong các bộ quốc phòng, cảnh sát và các tổ chức khác.
Sự xuất hiện của phần mềm gián điệp trên máy Mac của chúng tôi
Kaspersky từ lâu đã nghi ngờ rằng công cụ này đang được sử dụng để chống lại các nền tảng khác, và bây giờ họ đã tìm thấy bằng chứng về điều này. Phân tích mô-đun địa chỉ lệnh và điều khiển (C&C) được sử dụng cho thấy một số mô-đun độc hại bổ sung. Nói chung, se đã tìm thấy hơn 10 phiên bản của GravityRAT, được phân phối dưới vỏ bọc của các ứng dụng hợp pháp, chẳng hạn như các ứng dụng chia sẻ tệp an toàn sẽ giúp bảo vệ thiết bị của người dùng khỏi các trình phát đa phương tiện hoặc Trojan được mã hóa. Được sử dụng cùng nhau, các mô-đun này cho phép nhóm truy cập vào hệ điều hành macOS.
Máy Mac được bảo vệ tương đối tốt trước Trojan Vì Apple xem xét các ứng dụng được phép trên Mac App Store và mặc định không cho phép cài đặt phần mềm từ các nguồn khác. Nếu người dùng ghi đè bảo vệ mặc định, macOS vẫn kiểm tra xem ứng dụng có được ký bởi nhà phát triển hợp pháp hay không. Tuy nhiên, BleepingComputer báo cáo rằng nhóm đằng sau GravityRAT sử dụng chữ ký nhà phát triển bị đánh cắp để làm cho ứng dụng có vẻ hợp pháp.
Không thể liệt kê các ứng dụng bị nhiễm, vì GravityRAT bắt chước nhiều ứng dụng hợp pháp khác nhau. Cách bảo vệ tốt nhất là đảm bảo bạn chỉ cài đặt ứng dụng từ Mac App Store hoặc trực tiếp từ các nhà phát triển mà bạn tin tưởng. Tương tự như vậy, không kết nối cáp hoặc thiết bị với máy Mac của bạn trừ khi bạn biết chúng đến từ đâu.
Các chuyên gia cho rằng hiện những kẻ phát triển loại virus gián điệp này họ tiếp tục duy trì các phương thức truyền tải như cũ, nghĩa là, tốt nhất là thông qua các liên kết độc hại được chèn trong các bài đăng trên mạng xã hội. Vì vậy, chúng ta hãy tiếp tục thận trọng. Chúng tôi không tải xuống ứng dụng từ những nơi không được bật hoặc ít nhất là từ những trang chưa được xác minh ở cấp độ bảo mật. Chúng ta đừng đi theo các liên kết lạ mà chúng ta không biết chúng đến từ đâu. Nếu tiếp tục như vậy, chúng ta sẽ tiết kiệm được đồ đạc.
