Chương Trình Diệt Virus Giả Mạo Nhắm Tới Người Dùng Mac

Theo một chuyên gia nghiên cứu [You must be registered and logged in to see this link.],
Scammer hiện đang phân phát các phần mềm bảo mật giả mạo nhắm tới
người dùng máy tính Mac bằng cách tận dụng tin tức thủ lĩnh nhóm
al-Qaeda [You must be registered and logged in to see this link.].
Một hãng bảo mật chuyên về phần mềm Mac đã gọi động thái này là “một
bước chuyển rất lớn” đối với những kẻ tạo malware hướng tới người dùng
Mac.

Theo Peter James, nhân viên của Intego (công ty diệt virus có trụ sở tại Pháp), [You must be registered and logged in to see this link.] giả mạo được các chuyên gia bảo mật đặt cho cái tên "rogueware", đã quấy người dùng chạy [You must be registered and logged in to see this link.] từ
lâu. Tuy nhiên, đây là lần đầu tiên scammer nhằm tới người dùng Mac
với một ứng dụng bảo mật khá phức tạp, trông rất chuyên nghiệp.

James nói: “Đây thực sự là một bước chuyển rất lớn đối với malware ở máy tính Mac”.

Phần mềm này (được gọi là MAC Defender)
cũng tương tự như "rogueware" đang tồn tại, thuật ngữ đối với các
phần mềm bảo mật giả mạo thuyết phục người dùng máy tính cá nhân rằng
máy của họ đã bị lây nhiễm malware nặng. Một khi đã cài đặt, phần mềm
như này sẽ “làm tình làm tội” người dùng bằng những cửa sổ pop-up chạy
khắp màn hình máy tính cùng các thông báo giả cho tới khi họ trả tiền
mua phần mềm không đáng này.

Cho tới nay, rogueware có mục tiêu nhắm tới duy nhất là máy tính chạy hệ điều hành Windows.

Theo Kurt Baumgartner, một chuyên gia nghiên cứu malware cao cấp của [You must be registered and logged in to see this link.] Lab, thì điều này đã thay đổi. Ông nói rằng một tổ chức phát tán MAC Defender cũng đã từng thực hiện điều này với Windows rogueware.

Ông cho biết: “Chúng đã chuẩn bị cho điều này hàng tháng trời”.

Tháng trước, Baumgartner đã thông báo rằng tên miền ".co.cc"
– thường được dùng để phát tán malware và các trang web có mã lây
nhiễm tấn công – đã bắt đầu host các trang bảo mật giả mạo và phân phát
phần mềm rogueware "Best AntiVirus 2011".

Trong một lần dò
tìm qua tên miền .co.cc trong tháng 4 mới đây, Baumgartner tìm thấy một
địa chỉ URL rõ ràng là có mục tiêu hướng tới người dùng Mac: "antispyware-macbook(dot)co(dot)cc".

Ông đã nói trên trang blog của mình rằng: “Một điều rất kỳ cục là tổ chức này lại quảng cáo 'Fast Windows Antivirus 2011' từ tên miền của macbook”.

Mới đây, Baumgartner cho biết có một tổ chức đã sử dụng miền .co.cc để
phục vụ phần mềm bảo mật giả mạo cho Mac như một phần của kế hoạch lớn
hơn nhằm lừa người dùng Windows donwload và cài đặt các phần mềm giả
mạo.

Chiến dịch này hiện đang khai thác tin nóng về cái chết
của trùm khủng bố Bin Laden để lừa mọi người kích vào các đường link
chuyển hướng trình duyệt của họ tới download các phần mềm giả mạo.
Scammer đã sử dụng chiến thuật "black hat" [You must be registered and logged in to see this link.] để đặt các đường link dẫn tới rogueware lên kết quả tìm kiếm của Google Images.

Dẫu vậy, đây vẫn không phải là cách duy nhất người dùng Mac bị lừa vào việc cài đặt MAC Defender.

Vào hôm thứ 7 tuần trước (30/4), một ngày trước khi tổng thống Mỹ
Obama thông báo về cái chết của Bin Laden – message từ người dùng bị
lây nhiễm đã lan tràn trên forum hỗ trợ của [You must be registered and logged in to see this link.].

Một người dùng có nickname "wamabahama" đã hỏi: “Macdefender là gì và tại sao nó lại cố gắng tự động cài đặt trên máy tính của tôi?”.

Resized to 95% (was 508 x 381) - Click image to enlarge Chương Trình Diệt Virus Giả Mạo Nhắm Tới Người Dùng Mac Securitysoftware2

Chương Trình Diệt Virus Giả Mạo Nhắm Tới Người Dùng Mac Securitysoftware2

Trên diễn đàn hỗ trợ tương tự, một người có nickname "Mr. Fix It Home Services" đã chia sẻ: “Cháu gái tôi, FYI, nói rằng phần mềm này bắt đầu hoạt động sau khi nó kích vào bức ảnh có tên “hair style photo”. Những người khác báo cáo lại rằng họ gặp vấn đề với MAC Defender sau khi tìm kiếm các bức ảnh về áo khiêu vũ hoặc ảnh về một diễn viên trong phim "Princess Bride”.

Hôm thứ 2 vừa qua, Intego đã đăng tải một bản tư vấn chi tiết về MAC Defender, đáng chú ý là nó “được thiết kế rất tốt và trông rất chuyên nghiệp”.

Theo James, Intego đã phát hiện ra MAC Defender
và bắt gặp một số mẫu vào hôm thứ 7. Ông đã chỉ ra rằng người dùng cần
phải điền mật khẩu cấp người quản lý để cài đặt phần mềm.

Thực
tế, người dùng sẽ thấy một trang chung chung hướng tới Windows mỗi khi
họ kích vào đường link tới rogueware. James nói thêm: “Thậm chí họ còn chẳng nhận được nổi một trang dành cho Mac”.

Tuy nhiên, trừ phi người dùng đặt Safari không tự động mở file sau khi download, màn hình cài đặt của MAC Defender
sẽ mở ra mà không cần bất kì hành động nào của họ. Chỉ như vậy là đủ để
thu hút một số người chấp nhận cài đặt bằng cách điền mật khẩu admin.

Bên cạnh đó, phần mềm này cũng dựa vào một kỹ thuật không được phổ biến lắm nhằm bắt người dùng trả tiền.

James nói: “Cứ
vài phút nó lại mở một trang khiêu dâm trên trình duyệt. Chúng ta nghĩ
rằng chúng đang làm điều này bởi hầu hết mọi người đều cho rằng điều
này có nghĩa là máy tính Mac của họ đã bị nhiễm virus, và họ cần phải
loại bỏ nó bằng cách trả phí cho phần mềm này”.

MAC Defender đòi hỏi mức phí $60-$80, phụ thuộc vào người dùng chọn “license” 1 năm, 2 năm hoặc suốt đời.

Đáng buồn thay, chỉ có 8 đến 10 số serial mà MAC Defender chấp
nhận. Những số serial này được đóng gói trong một file nhị phân –
không được mã hóa – nơi người dùng cao cấp hoàn toàn có thể lấy chúng
ra.

James cũng chỉ ra dấu hiệu của MAC Defender mà những kẻ tội phạm mạng này có ý đồ muốn lấy lợi nhuận từ người dùng Mac. Ông nói: “Phần
mềm này được tạo bởi một lập trình viên về giao diện Mac rất tinh vi.
Dấu hiệu rất hiển nhiên là (scammer) đã bắt đầu nhắm tới máy tính Mac.
Các vụ lừa đảo trước đó, ví như vụ MacSweeper diễn ra vào năm 2008 cũng không đáng bận tâm lắm”.

Intego đã chú ý tới MacSweeper, 1 phần mềm dọn dẹp hệ thống giả mạo dành cho Macintosh, vào tháng 1 năm 2008.

MAC Defender cũng gây ra một số phá hoại phụ khác: Nó sử dụng tên giống với tên của một công ty hợp pháp phát triển phần mềm Mac ở Đức.

Trang MacDefender đã cảnh báo: “Một loại ứng dụng mã độc mới có tên MAC Defender (MacDefender.app)
dành cho OS X đã xuất hiện một vài ngày trước đây. Nếu bạn thấy bất
kì ứng dụng nào có tên như vậy thì đừng nên download hoặc cài đặt nó.
Chúng tôi chưa bao giờ cho ra mắt sản phẩm nào có tên như vậy”.

James nói: “Tên
của phần mềm giả mạo này có thể là sự kết hợp giữa "PC Defender" và
"Windows Defender", các cụm từ được dùng trong tiêu đề của rất nhiều
phần mềm diệt virus dành cho Windows".

Người dùng Mac chạy Safari có thể chặn MAC Defender khỏi việc tự động mở sau khi download bằng cách bỏ dấu tích ở mục "Open 'safe' files after downloading" phía cuối thẻ General trong màn hình Preferences của [You must be registered and logged in to see this link.].

Lamle (Theo Computerworld)