Thông báo

Collapse
No announcement yet.

Apple cập nhật XProtect để chặn phần mềm độc hại 'Windows' trên máy Mac

Collapse
X
 
  • Bộ lọc
  • Thời gian
  • Show
Clear All
new posts

  • Apple cập nhật XProtect để chặn phần mềm Ä‘á»™c hại 'Windows' trên máy Mac

    Phần mềm bảo mật XProtect của Apple mới đây đã được âm thầm cập nhật để bổ sung thêm một số chữ ký (signatures) giúp phát hiện các tập tin Windows PE cũng như các tập tinthực thi Windows có thể chạy trên máy Mac bằng cách sử dụng Mono .NET framework.

    Nếu bạn chưa biết thì XProtect là phần mềm chống virus được tích hợp sẵn của Apple nhằm đóng vai trò như một lá chắn bảo vệ thời gian thực trên máy Mac. Để bảo vệ người dùng khỏi virus và mã độc, XProtect sử dụng các chữ ký được xây dựng từ nhiều quy tắc Yara nhắm vào những mối đe dọa bảo mật đã biết đối với người dùng Mac.


    Theo chuyên gia bảo mật Patrick Wardle, 2 chữ ký mới phát hành vào ngày 19 tháng 4 năm 2019 vừa qua khi được sử dụng cùng nhau có thể giúp phát hiện ra các gói phần mềm quảng cáo chứa tập tin thực thi Windows chạy được trên macOS.

    2 chữ ký mới này được gọi là "PE", giúp phát hiện các tập tin Windows PE và "MACOS.d1e06b8", đồng thời cũng được sử dụng nhằm nhận diện một tập tin thực thi Windows được chế tạo đặc biệt để có thể chạy trên máy Mac, như được minh họa dưới đây:


    Về lý thuyết, XProtect sẽ sử dụng quy tắc trên để phát hiện các tập tin thực thi Windows có chứa những chuỗi sau. Lưu ý, các chuỗi bên dưới được xây dựng dựa trên quy tắc hiển thị phía trên, do đó chúng cũng có thể bị "xé" nhỏ.

    //*ErborC
    ()
    trackingXML
    AllInstal
    offer_parameter
    offer_id

    Các chuỗi này được liên kết với nhiều gói phần mềm quảng cáo có chứa những tập tin thực thi Windows đã được sửa đổi để chạy trên máy Mac bằng cách sử dụng Mono C# framework.

    Mã độc nhắm mục tiêu gói phần mềm quảng cáo Mac

    Vào tháng 2 vừa qua, một số trang tin công nghệ lớn trên thế giới đã ra thông báo về các trường hợp phần mềm độc hại được phát hiện, đả lợi dụng trình cài đặt Mac để khởi chạy các tập tin thực thi Windows bằng cách sử dụng Mono C# framework.

    Mono về lý thuyết là một framework đa nền tảng, cho phép các chương trình C# chạy trên nhiều hệ điều hành phổ biến hiện nay, trong đó có Windows, Mac và Linux.

    Một số mẫu phần mềm độc hại được phát hiện sẽ trích xuất một tập tin thực thi Windows có tên Installer.exe. Sau đó tập tin này sẽ sử dụng các thư viện Mono Mac đi kèm để có thể chạy được trên hệ điều hành này.


    Sau khi đã khởi chạy thành công, các gói phần mềm quảng cáo sẽ âm thầm liên hệ với những máy chủ từ xa của kẻ gian để tải xuống các "offer" và cài đặt chúng vào hệ thống của nạn nhân. Những "offer" này có thể là các tiện ích mở rộng trình duyệt, phần mềm quảng cáo, công cụ khai thác và đánh cắp mật khẩu không mong muốn.

    Mặc dù các gói phần mềm quảng cáo này về bản chất là tập tin thực thi của Windows, nhưng chúng lại thực sự không thể chạy được trên Windows. Điều này là do chúng được lập trình để cố gắng tải các thư viện Mac Mono framework, trong khi những thư viện này lại hoàn toàn không có sẵn trong Windows. Nếu bạn cố chạy các tập tin thực thi này trong Windows, hệ thống sẽ báo lỗi như được hiển thị trong hình minh họa dưới đây:


    Khi các ngôn ngữ lập trình như C# trở thành ngôn ngữ đa nền tảng, việc có thể phát hiện ra tập tin Windows PE sẽ đóng vai trò rất quan trọng trong việc bảo vệ người dùng trước các phần mềm độc hại, vốn có thể dễ dàng lây lan sang máy Mac sử dụng những framework như Mono.

    Theo quantrimang

  • #2
    Thằng XProtect cũng giống thằng Win Defender của Win, tuy có giúp phần nào bảo vệ máy tính tránh bị nhiễm virus, malware, nhưng mặt chủ yếu là ra xem xét coi trong máy có cài đặt phần mềm không có "chử ký" (nghỉa là "lậu") và sẽ tìm mọi cách xóa ngay tại chổ, tránh bị "lây nhiễm mả độc" (như cách nói của chuyên gia). Cho nên khỉ bỏ tiền ra mua máy với cấu trúc ban đầu quá đơn giản như Win Home (hay hệ điều hành Mac tương đương), muốn sử dụng đầy đủ các chức năng của máy thì cần bỏ thêm tiền để "nâng cấp", ví dụ như lên Win Pro, Office 365, Memory Ram, ổ cứng SSD, card màn hình, và các phần mềm chuyên dụng khác (từ vài chuc USD đến vài trăm USD). Ai có tiền thì tha hồ "lên đời" cho sướng, còn những ai có khó khăn thì xài "tạm" các phần mềm "lậu" được chia sẽ rộng rải và chấp nhận "chung sống với sâu bọ nguy hiễm"! Nhờ vậy mà Apple, Microsoft, ... đả trở thành những "tập đoàn kỹ nghệ ngàn tỷ" rất đơn giản và nhanh chóng!

    Lời nhận xét

    Trending

    Collapse

    Không có kết quả phù hợp với tiêu chí tìm kiếm. Hãy thử lại!

    Working...
    X