Ngày 18 tháng 4 năm 2023Ravie LakshmananMã hóa / phần mềm độc hại
Các tác nhân đe dọa đằng sau hoạt động của phần mềm tống tiền LockBit đã phát triển các tạo phẩm mới có thể mã hóa các tệp trên các thiết bị chạy hệ điều hành macOS của Apple.
Sự phát triển, được báo cáo bởi MalwareHunterTeam vào cuối tuần qua, dường như là lần đầu tiên một nhóm ransomware trò chơi lớn tạo ra một tải trọng dựa trên macOS.
Các mẫu bổ sung do vx-underground xác định cho thấy biến thể macOS đã có sẵn từ ngày 11 tháng 11 năm 2022 và đã cố gắng tránh bị các công cụ chống phần mềm độc hại phát hiện cho đến nay.
LockBit là một nhóm tội phạm mạng lớn có quan hệ với Nga đã hoạt động từ cuối năm 2019, với việc các tác nhân đe dọa đã phát hành hai bản cập nhật lớn cho tủ khóa vào năm 2021 và 2022.
Theo thống kê do Malwarebytes công bố vào tuần trước, LockBit nổi lên là ransomware được sử dụng nhiều thứ hai vào tháng 3 năm 2023 sau Cl0p, chiếm 93 cuộc tấn công thành công.
Một phân tích về phiên bản macOS mới (“locker_Apple_M1_64″_ cho thấy rằng nó vẫn đang trong quá trình hoàn thiện, dựa vào chữ ký không hợp lệ để ký tệp thực thi. Điều này cũng có nghĩa là các biện pháp bảo vệ Gatekeeper của Apple sẽ ngăn không cho nó chạy ngay cả khi nó được tải xuống và khởi chạy trên một thiết bị.
Tải trọng, theo nhà nghiên cứu bảo mật Patrick Wardle, gói trong các tệp như autorun.inf và ntuser.dat.log, cho thấy rằng mẫu ransomware ban đầu được thiết kế để nhắm mục tiêu Windows.
Wardle nói: “Mặc dù đúng là nó có thể chạy trên Apple Silicon, nhưng về cơ bản đó là mức độ ảnh hưởng của nó. “Vì vậy, người dùng macOS không có gì phải lo lắng…vào lúc này!”
Wardle cũng chỉ ra các biện pháp bảo vệ bổ sung do Apple triển khai, chẳng hạn như Bảo vệ toàn vẹn hệ thống (SIP) và Tính minh bạch, sự đồng ý và kiểm soát (TCC) ngăn chặn việc thực thi mã trái phép và yêu cầu ứng dụng xin phép người dùng để truy cập các tệp và dữ liệu được bảo vệ.
Wardle chỉ ra: “Điều này có nghĩa là nếu không có sự khai thác hoặc sự chấp thuận rõ ràng của người dùng, các tệp của người dùng sẽ vẫn được bảo vệ”. “Vẫn còn một lớp bổ sung hoặc khả năng phát hiện/bảo vệ có thể được đảm bảo.”
Những phát hiện này, bất chấp lỗi tổng thể của hiện vật, là một dấu hiệu rõ ràng cho thấy các tác nhân đe dọa đang ngày càng nhắm đến các hệ thống macOS.
Đại diện của LockBit đã xác nhận với Bleeping Computer rằng bộ mã hóa macOS “đang được phát triển tích cực”, cho thấy phần mềm độc hại có khả năng gây ra mối đe dọa nghiêm trọng cho nền tảng.
