Các nhà nghiên cứu vừa phát hiện một loại mã độc bất thường có tên FruitFly, lây lan nhiều máy tính Mac trong các năm qua. FruitFly hoạt động âm thầm trong nền, theo dõi người dùng qua camera máy tính, chụp lại những gì hiển thị trên màn hình và ghi lại keystroke.
Hãng bảo mật Malwarebytes khám phá ra “mẻ” đầu tiên vào đầu năm nay song phiên bản thứ hai, FruitFly2 2, vừa xuất hiện. Patrick Wardle, Giám đốc nghiên cứu an ninh tại hãng bảo mật Synack, tìm thấy 400 máy tính nhiễm mã độc mới và tin rằng còn có nhiều nạn nhân hơn ngoài kia.
Không rõ FruitFly đã lây nhiễm máy tính được bao lâu song các nhà nghiên cứu nhận thấy đoạn mã được chỉnh sửa để hoạt động trên hệ điều hành Mac Yosemite phát hành tháng 10/2014. Điều đó gợi ý mã độc tồn tại trước thời điểm này. Cũng không rõ ai là người đứng sau hay làm thế nào nó xâm nhập được vào máy tính.
Theo chuyên gia Thomas Reed của Malwarebytes, phiên bản đầu tiên “không giống với bất kỳ tôi từng thấy trước đó”.
Ông Wardle cho biết có nhiều dạng thức của FruitFly, dùng chung kỹ thuật gián điệp nhưng mã khác nhau. Sau nhiều tháng phân tích dạng mới, ông giải mã từng phần của mã và thiết lập máy chủ để can thiệp vào traffic từ các máy tính nhiễm độc. “Ngay lập tức, hàng tá nạn nhân bắt đầu kết nối đến tôi”. Ông có thể nhìn thấy khoảng 400 máy tính và địa chỉ IP bị dính mã độc nhưng tin rằng nó mới chỉ phản ánh một lượng nhỏ nạn nhân.
FruitFly nhắc nhở người dùng rằng dù mã độc Mac được xem là ít hơn so với Windows, nó vẫn đang tồn tại. Ông Wardle đánh giá người dùng Mac đã quá tự tin và không thận trọng khi duyệt web hay mở tệp đính kèm email.
Mã độc Mac đã tăng trong vài năm gần đây. Theo báo cáo từ McAfee, nó tăng mạnh năm 2016 nhưng phần lớn đều là chương trình quảng cáo adware, không phải nhằm mục đích gián điệp. FruitFly hoàn toàn mới với các máy tính Mac. Ông Wardle đã cảnh báo nhà hành pháp về mã độc này.
Theo ICTnews
