Chuỗi lây nhiễm bắt đầu khi người dùng tải về và thực hiện các ứng dụng crack từ các trang web không đáng tin cậy. Trong quá trình cài đặt, phần mềm độc hại được đặt trong thư mục /Applications/, giả mạo là một công cụ kích hoạt cho ứng dụng crack. Một cửa sổ Kích Hoạt lừa dối yêu cầu người dùng nhập mật khẩu quản trị viên, cho phép phần mềm độc hại chạy một tệp thực thi ‘tool’ sử dụng chức năng ‘AuthorizationExecuteWithPrivileges’. Phần mềm độc hại kiểm tra sự hiện diện của Python 3 trên hệ thống và cài đặt nếu cần thiết, xuất hiện như là một bản vá ứng dụng thông thường.
Sau đó, phần mềm độc hại liên hệ với máy chủ chỉ huy và kiểm soát (C2) tại tên miền “apple-health[.]org”. Các kẻ tấn công sử dụng một phương pháp mới để liên lạc với máy chủ C2, chứng tỏ các chiến thuật tiến hóa của tội phạm mạng trong việc xâm nhập vào hệ thống bảo mật của macOS.
Source: Medium
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.