CÔNG NGHỆ

Các chuyên gia bảo mật đang đưa ra cảnh báo đối với người dùng macOS tại Trung Quốc. Những người sử dụng ứng dụng nhắn tin như DingTalk và WeChat có thể trở thành mục tiêu của một loại phần mềm độc hại mới, chuyên đánh cắp thông tin cá nhân. Người dùng cần thận trọng hơn nữa trong việc bảo vệ dữ liệu cá nhân trước nguy cơ này.

Các nhà nghiên cứu an ninh mạng tại Kaspersky vừa công bố phát hiện thú vị liên quan đến một mẫu phần mềm độc hại mới. Mẫu này đã được tải lên nền tảng VirusTotal và cho thấy tin tặc đã áp dụng phần mềm đánh cắp thông tin có tên HZ RAT vào hệ điều hành macOS. Điều này đánh dấu một bước đi đáng chú ý trong nỗ lực của tội phạm mạng nhằm mở rộng phạm vi tấn công của họ.

HZ RAT đã có mặt trên thị trường từ năm 2020, nhưng phải đến cuối năm 2022, nó mới được phát hiện bởi cơ quan an ninh mạng Đức, DCSO. Chương trình độc hại này đã tồn tại gần nửa thập kỷ mà vẫn chưa được chú ý đến, cho thấy mức độ phức tạp và khả năng ẩn náu của nó trong thế giới mạng.

HZ RAT là một phần mềm đánh cắp thông tin khá đơn giản và ít tinh vi. Nó có khả năng kết nối với máy chủ chỉ huy và điều khiển (C2), thực hiện các lệnh cũng như chạy các script PowerShell. Ngoài ra, HZ RAT còn cho phép ghi các tệp tùy ý vào hệ thống mục tiêu, tải lên các tệp và gửi thông tin về hệ thống của nạn nhân.

Theo thông tin từ The Hacker News, HZ RAT sở hữu những chức năng hạn chế nhưng vẫn có khả năng thu thập thông tin xác thực và do thám hệ thống một cách hiệu quả. Điều này cảnh báo người dùng về những rủi ro tiềm ẩn trong việc bảo vệ dữ liệu cá nhân và an ninh mạng.

Hiện tại, một phiên bản sao chép hoàn hảo của phần mềm độc hại trên Windows đã được phát triển dành riêng cho hệ điều hành macOS. Theo thông tin từ Kaspersky, các mẫu mới này gần như tái tạo chính xác mọi chức năng của phiên bản trước đó. Sự khác biệt duy nhất nằm ở phần tải trọng, được vận chuyển dưới dạng tập lệnh shell từ máy chủ của kẻ tấn công. Sự xuất hiện của bản sao này không chỉ là một tín hiệu cảnh báo mà còn nhấn mạnh mức độ phát triển và tinh vi của các mối đe dọa an ninh mạng hiện nay.

Các loại tệp tin mà HZ RAT thu thập sẽ phụ thuộc vào ứng dụng trò chuyện mà người dùng đang sử dụng. Theo Kaspersky, phần mềm độc hại này nhắm tới WeChatID, địa chỉ email và số điện thoại của nạn nhân. Đối với ứng dụng DingTalk, kẻ tấn công tìm kiếm thông tin chi tiết hơn từ nạn nhân, bao gồm tên tổ chức, phòng ban, tên người dùng, địa chỉ email công ty và số điện thoại. Sự đa dạng trong các dữ liệu bị thu thập cho thấy sự tinh vi trong chiến thuật tấn công của phần mềm độc hại này.

Mặc dù danh tính của các kẻ tấn công vẫn chưa được xác định, nhóm nghiên cứu đã thành công trong việc xác định vị trí của hệ thống quản lý chỉ huy và kiểm soát (C2). Hầu hết các máy chủ liên quan được tổ chức tại Trung Quốc, trong khi hai máy chủ khác được phát hiện ở Hoa Kỳ và Hà Lan.