Phần mềm độc hại trên máy Mac để xem
Apple và Mac đã có những mối lo ngại về an ninh trong nhiều năm qua, nhưng phần lớn, không có nhiều sự tấn công lan rộng. Đương nhiên, điều đó khiến một số người dùng Mac tự hỏi liệu họ có cần một ứng dụng chống vi rút hay không .
Nhưng hy vọng rằng danh tiếng của Mac là đủ để giữ lại sự tấn công của các lập trình viên phần mềm độc hại không phải là rất thực tế, và Mac trong những năm gần đây đang thấy một sự gia tăng trong phần mềm độc hại nhắm mục tiêu người dùng của nó. Bất kể lý do tại sao, phần mềm độc hại trên máy Mac dường như đang tăng lên và danh sách phần mềm độc hại trên máy Mac của chúng tôi có thể giúp bạn giữ được mối đe doạ ngày càng tăng.
Nếu bạn thấy mình cần một ứng dụng chống vi-rút Mac để phát hiện và xóa bất kỳ mối đe dọa nào, hãy xem hướng dẫn của chúng tôi về Chương trình chống vi-rút tốt nhất dành cho Mac .
FruitFly - Phần mềm gián điệp
Nó là gì
FruitFly là một biến thể của phần mềm độc hại được gọi là phần mềm gián điệp.
Những gì nó làm
FruitFly và biến thể của nó là phần mềm gián điệp được thiết kế để hoạt động lặng lẽ dưới nền và chụp ảnh người dùng bằng máy ảnh tích hợp của Mac, chụp ảnh màn hình và ghi lại các lần nhấn phím.
Tình trạng hiện tại
FruitFly đã bị chặn bởi các bản cập nhật cho Mac OS. Nếu bạn đang chạy OS X El Capitan hoặc sau này FruitFly không phải là một vấn đề.
Tỷ lệ nhiễm trùng dường như rất thấp, có lẽ là 400 người dùng. Nó cũng giống như nhiễm trùng ban đầu được nhắm mục tiêu vào người dùng trong ngành y sinh, điều này có thể giải thích sự xâm nhập bất thường thấp của phiên bản FruitFly ban đầu.
Nó vẫn còn hoạt động?
Nếu bạn đã cài đặt FruitFly trên máy Mac của mình, hầu hết các ứng dụng diệt vi-rút của Mac có thể phát hiện và xóa phần mềm gián điệp.
Làm thế nào nó được trên máy Mac của bạn
FruitFly ban đầu được cài đặt bằng cách lừa người dùng nhấp vào liên kết để bắt đầu quá trình cài đặt.
Mac Sweeper - Scareware
Nó là gì
MacSweeper có thể là ứng dụng Mac scareware đầu tiên .
Những gì nó làm
MacSweeper giả vờ tìm kiếm trên máy Mac của bạn để tìm sự cố và sau đó cố gắng thanh toán chính xác từ người dùng để "Khắc phục" sự cố.
Trong khi những ngày của MacSweeper như một ứng dụng dọn dẹp rogue bị hạn chế, nó đã tạo ra một số ứng dụng dựa trên phần mềm scareware và phần mềm quảng cáo tương tự để dọn dẹp Mac của bạn và cải thiện hiệu suất của nó, hoặc kiểm tra Mac của bạn để tìm các lỗ hổng bảo mật. .
Tình trạng hiện tại
MacSweeper đã không hoạt động từ năm 2009, mặc dù các biến thể hiện đại xuất hiện và biến mất thường xuyên.
Sill có hoạt động không?
Các ứng dụng gần đây nhất sử dụng các chiến thuật tương tự là MacKeeper cũng có danh tiếng cho phần mềm quảng cáo nhúng và scareware. MacKeeper cũng được coi là khó loại bỏ .
Làm thế nào nó được trên máy Mac của bạn
MacSweeper ban đầu có sẵn dưới dạng bản tải xuống miễn phí để dùng thử ứng dụng. Phần mềm độc hại cũng được phân phối với các ứng dụng khác ẩn trong trình cài đặt.
KeRanger - Ransomware
Nó là gì
KeRanger là phần mềm đầu tiên được tìm thấy trong các máy Mac lây nhiễm hoang dã.
Những gì nó làm
Vào đầu năm 2015, một nhà nghiên cứu bảo mật người Brazil đã xuất bản một đoạn mã chứng minh khái niệm được gọi là Mabouia nhắm vào các máy Mac bằng cách mã hóa các tệp người dùng và yêu cầu một khoản tiền chuộc cho khóa giải mã.
Không lâu sau khi thí nghiệm Mabouia trong phòng thí nghiệm, một phiên bản được gọi là KeRanger nổi lên trong tự nhiên. Lần đầu tiên được phát hiện vào tháng 3 năm 2016 bởi Palo Alto Networks, KeRange lan truyền bằng cách được đưa vào Transmission một ứng dụng cài đặt BitTorrent của khách hàng phổ biến. Sau khi KeRanger được cài đặt, ứng dụng sẽ thiết lập kênh giao tiếp với máy chủ từ xa. Tại một số điểm tương lai, máy chủ từ xa sẽ gửi một khóa mã hóa được sử dụng để mã hóa tất cả các tệp của người dùng. Khi các tệp đã được mã hóa, ứng dụng KeRanger sẽ yêu cầu thanh toán cho khóa giải mã cần thiết để mở khóa các tệp của bạn.
Tình trạng hiện tại
Phương pháp lây nhiễm ban đầu bằng ứng dụng Truyền và trình cài đặt của nó đã được làm sạch mã vi phạm.
Nó vẫn còn hoạt động?
KeRanger và bất kỳ biến thể nào vẫn được coi là hoạt động và dự kiến các nhà phát triển ứng dụng mới sẽ được nhắm mục tiêu để truyền tải phần mềm ransomware.
Bạn có thể tìm thêm thông tin chi tiết về KeRanger và cách gỡ bỏ ứng dụng ransomware trong hướng dẫn: KeRanger: Ransomware Mac đầu tiên trong Wild Discovered .
Làm thế nào nó được trên máy Mac của bạn
Trojan gián tiếp có thể là cách tốt nhất để mô tả các phương tiện phân phối. Trong mọi trường hợp cho đến nay KeRanger đã được thêm vào lén lút các ứng dụng hợp pháp bằng cách xâm nhập vào trang web của nhà phát triển.
APT28 (Xagent) - Phần mềm gián điệp
Nó là gì
APT28 có thể không phải là một phần mềm độc hại, nhưng nhóm liên quan đến sự sáng tạo và phân phối của nó, Sofacy Group, còn được gọi là Fancy Bear, nhóm này có liên kết với chính phủ Nga được cho là đứng sau các cuộc tấn công mạng trên người Đức quốc hội, đài truyền hình Pháp và Nhà Trắng.
Những gì nó làm
APT28 sau khi cài đặt trên thiết bị tạo ra một backdoor bằng cách sử dụng một mô-đun gọi là Xagent để kết nối với Komplex Downloader một máy chủ từ xa có thể cài đặt các mô-đun gián điệp khác nhau được thiết kế cho hệ điều hành chủ.
Các mô-đun gián điệp dựa trên Mac cho đến nay bao gồm các keylogger để lấy bất kỳ văn bản nào bạn nhập từ bàn phím, màn hình để cho phép kẻ tấn công nhìn thấy những gì bạn đang làm trên màn hình, cũng như các tập tin grabreptitiously gửi bản sao của các tập tin máy chủ.
APT28 và Xagent được thiết kế chủ yếu để khai thác dữ liệu tìm thấy trên Mac mục tiêu và bất kỳ thiết bị iOS nào được liên kết với Mac và cung cấp thông tin ngược lại cho kẻ tấn công.
Trạng thái hiện tại
Phiên bản hiện tại của Xagent và Apt28 được coi là không còn là mối đe dọa vì máy chủ từ xa không còn hoạt động nữa và Apple đã cập nhật hệ thống chống vi rút XProtect tích hợp của nó để sàng lọc cho Xagent.
Nó vẫn còn hoạt động?
Không hoạt động - Xagent ban đầu dường như không còn hoạt động nữa kể từ khi máy chủ điều khiển và lệnh chuyển sang ngoại tuyến. Nhưng đó không phải là kết thúc của APT28 và Xagent. Nó xuất hiện mã nguồn cho phần mềm độc hại đã được bán và các phiên bản mới được gọi là Proton và ProtonRAT đã bắt đầu thực hiện các vòng
Phương pháp lây nhiễm
Không biết, mặc dù mui xe có khả năng là thông qua một Trojan được cung cấp thông qua kỹ thuật xã hội.
OSX.Proton - Phần mềm gián điệp
Nó là gì
OSX.Proton không phải là một phần mềm gián điệp mới nhưng đối với một số người dùng Mac, mọi thứ trở nên xấu xí vào tháng 5 khi ứng dụng Handbrake phổ biến bị tấn công và phần mềm độc hại Proton được chèn vào nó. Vào giữa tháng 10, phần mềm gián điệp Proton đã được tìm thấy trong các ứng dụng Mac phổ biến được sản xuất bởi Eltima Software. Cụ thể là Elmedia Player và Folx.
Những gì nó làm
Proton là một backdoor điều khiển từ xa cung cấp khả năng truy cập cấp độ gốc của kẻ tấn công, cho phép toàn bộ hệ thống Mac của bạn chiếm toàn bộ. Kẻ tấn công có thể thu thập mật khẩu, khóa VPN, cài đặt các ứng dụng như keylogger, sử dụng tài khoản iCloud của bạn và hơn thế nữa.
Hầu hết các ứng dụng chống vi-rút của Mac đều có thể phát hiện và loại bỏ Proton.
Nếu bạn giữ bất kỳ thông tin thẻ tín dụng nào trong keychain của máy Mac hoặc trong trình quản lý mật khẩu của bên thứ ba , bạn nên xem xét liên hệ với các ngân hàng phát hành và yêu cầu đóng băng trên các tài khoản đó.
Tình trạng hiện tại
Các nhà phân phối ứng dụng là mục tiêu của hack ban đầu kể từ đó đã xóa phần mềm gián điệp Proton khỏi các sản phẩm của họ.
Nó vẫn còn hoạt động?
Proton vẫn được coi là hoạt động và những kẻ tấn công có thể sẽ xuất hiện lại với một phiên bản mới và một nguồn phân phối mới.
Phương pháp lây nhiễm
Gián tiếp Trojan - Sử dụng nhà phân phối bên thứ ba, không biết về sự hiện diện của phần mềm độc hại.
KRACK - Spyware Proof-of-Concept
Nó là gì
KRACK là một cuộc tấn công bằng chứng về khái niệm trên hệ thống bảo mật Wi-Fi WPA2 được sử dụng bởi hầu hết các mạng không dây. WPA2 sử dụng bắt tay 4 chiều để thiết lập kênh giao tiếp được mã hóa giữa người dùng và điểm truy cập không dây.
Những gì nó làm
KRACK, thực ra là một loạt các cuộc tấn công chống lại sự bắt tay 4 chiều, cho phép kẻ tấn công có đủ thông tin để có thể giải mã các luồng dữ liệu hoặc chèn thông tin mới vào các giao tiếp.
Điểm yếu KRACK trong truyền thông Wi-Fi đang lan rộng ảnh hưởng đến bất kỳ thiết bị Wi-Fi nào đang sử dụng WPA2 để thiết lập truyền thông an toàn.
Tình trạng hiện tại
Apple, Microsoft, và những người khác đã hoặc đang cung cấp các bản cập nhật để đánh bại các cuộc tấn công của KRACK hoặc đang lên kế hoạch làm việc này sớm. Đối với người dùng máy Mac, bản cập nhật bảo mật đã xuất hiện trong phiên bản beta của MacOS, iOS, watchOS và tvOS, đồng thời các bản cập nhật sẽ sớm được giới thiệu cho công chúng trong các bản cập nhật hệ điều hành nhỏ tiếp theo.
Một mối quan tâm lớn hơn là tất cả các IoT (Internet of Things) sử dụng Wi-Fi cho truyền thông, bao gồm nhiệt kế gia dụng, mở cửa nhà để xe, an ninh gia đình, thiết bị y tế, bạn sẽ có được ý tưởng. Nhiều người trong số các thiết bị này sẽ cần cập nhật để làm cho chúng an toàn.
Hãy chắc chắn và cập nhật thiết bị của bạn ngay khi có bản cập nhật bảo mật.
Nó vẫn còn hoạt động?
KRACK sẽ vẫn hoạt động trong một thời gian dài. Không phải cho đến khi mọi thiết bị Wi-Fi sử dụng hệ thống bảo mật WPA2 đều được cập nhật để ngăn chặn tấn công KRACK hoặc nhiều khả năng bị gỡ bỏ và được thay thế bằng các thiết bị Wi-Fi mới.
Phương pháp lây nhiễm
Gián tiếp Trojan - Sử dụng nhà phân phối bên thứ ba, không biết về sự hiện diện của phần mềm độc hại.