Công cụ chuyển đổi PDF biến thành ổ chứa trojan. Xuất hiện cuộc tấn công mới nhắm vào Mac, chiếm quyền Chrome đánh cắp dữ liệu và lừa đảo tài chính
Công ty quản lý và bảo mật thiết bị Apple Mosyle vừa công bố một loại phần mềm độc hại mới trên Mac có tên “JSCoreRunner”. Mối đe dọa này được phát tán thông qua website fileripple[.]com, giả dạng công cụ chuyển đổi PDF trực tuyến.
JSCoreRunner có thể qua mặt toàn bộ các hệ thống quét trên VirusTotal, được xem là một hình thức tấn công zero-day có khả năng né tránh các lớp phòng vệ hiện có. Kẻ tấn công đã lợi dụng website chuyển đổi tài liệu giả mạo fileripple[.]com để dụ người dùng tải về phần mềm “PDF Converter” chứa mã độc.
JSCoreRunner tập trung chiếm quyền kiểm soát Google Chrome bằng cách quét toàn bộ thư mục:
Nó thao túng cả profile mặc định lẫn profile bổ sung, chỉnh sửa template công cụ tìm kiếm, chuyển hướng tìm kiếm và tab mới về dịch vụ tìm kiếm giả mạo. Đồng thời, phần mềm độc hại còn ẩn báo cáo crash và thông báo “khôi phục phiên làm việc trước” nhằm giảm khả năng bị phát hiện.
Một khi Chrome bị chiếm quyền, nạn nhân có thể bị:
Mosyle đã công bố hash các tệp độc hại để giới bảo mật đưa vào quy tắc phát hiện, đồng thời nhấn mạnh rằng việc phòng thủ hiệu quả cần dựa trên chiến lược an ninh đa lớp kết hợp với nâng cao nhận thức người dùng.
Cơ chế lây nhiễm hai giai đoạn
- Giai đoạn 1: Tệp cài đặt có tên FileRipple.pkg. Giao diện hiển thị một cửa sổ xem trước công cụ PDF trông hợp pháp, nhưng ở hậu trường lại âm thầm chạy mã độc. Dù chứng chỉ nhà phát triển của gói này đã bị Apple thu hồi (khiến macOS cảnh báo và chặn mở), phần tải độc hại thực sự lại ẩn trong Safari14.1.2MojaveAuto.pkg.
- Giai đoạn 2: Tệp cài đặt này không được ký số, nên có thể vượt qua cơ chế bảo vệ mặc định của Gatekeeper. Sau khi chạy, nó liên lạc với máy chủ C&C (command & control) để xác nhận cài đặt, xóa thuộc tính cách ly, thiết lập đường dẫn chương trình chính và hoàn tất quá trình lây nhiễm – tất cả diễn ra mà người dùng không hề hay biết.
Mục tiêu chính: chiếm quyền Chrome
JSCoreRunner tập trung chiếm quyền kiểm soát Google Chrome bằng cách quét toàn bộ thư mục:
Mã:
~/Library/Application Support/Google/Chrome/Một khi Chrome bị chiếm quyền, nạn nhân có thể bị:
- Dẫn đến trang web lừa đảo, quảng cáo độc hại hoặc trang kết quả tìm kiếm giả.
- Bị keylogger ghi lại thao tác bàn phím.
- Đối mặt nguy cơ mất dữ liệu cá nhân hoặc lừa đảo tài chính.
Mosyle đã công bố hash các tệp độc hại để giới bảo mật đưa vào quy tắc phát hiện, đồng thời nhấn mạnh rằng việc phòng thủ hiệu quả cần dựa trên chiến lược an ninh đa lớp kết hợp với nâng cao nhận thức người dùng.
