Theo nghiên cứu của Malwarebytes, Atomic macOS Stealer (AMOS) được phân phối thông qua một chương trình quảng cáo của Google cho người dùng. Các quảng cáo này được Google cấp phép, nhưng lại “ngụy trang” thành trang web hoặc phần mềm mà người dùng đang tìm kiếm trên Google Search.
Cuộc tấn công dựa trên sự tin tưởng của người dùng vào Google khi nhấp vào kết quả tìm kiếm trên quảng cáo. Quảng cáo xuất hiện ở đầu trang và có dấu phê duyệt quảng cáo từ Google. Do đó, người dùng đã nhấp vào mà không kiểm tra các URL hoặc chủ sở hữu tên miền.
Khi người dùng nhấp vào liên kết, họ sẽ thấy một trang web bình thường. Tuy nhiên, kẻ tấn công sẽ tạo ra một bản sao “không tỳ vết” với trang web mà người dùng muốn truy cập, dẫn đến người dùng nhấp vào và tải xuống phần mềm độc hại.
Phần mềm độc hại AMOS đã xuất hiện lần đầu vào tháng 4 và được bán trên Telegram với giá 1.000 USD/tháng. Sau khi cài đặt, phần mềm sẽ thu thập mật khẩu hệ thống của người dùng thông qua các cửa sổ bật lên và sau đó đánh cắp dữ liệu như mật khẩu, tiền điện tử và tệp tin quan trọng.
AMOS không trải qua quá trình cài đặt thông thường vì nó là một ứng dụng đặc biệt. Người dùng được hướng dẫn nhấp chuột phải và mở phần mềm từ tệp .dmg đã được gắn sẵn. Sau khi tệp được mở, lời nhắc nhập mật khẩu hiển thị liên tục và thúc đẩy người dùng nhập mật khẩu của họ. Sau đó, phần mềm sẽ tiến hành thu thập dữ liệu từ người dùng và chuyển đến kẻ đứng sau phần mềm này.
Cách bảo vệ bản thân trước AMOS
Google không phải là một công cụ hoàn hảo, nó chỉ cung cấp thông tin dựa trên dữ liệu tài khoản và từ khóa của người dùng. Các quảng cáo trên Google không phải lúc nào cũng được xem xét và kiểm tra kỹ càng, thậm chí, dù đã được cấp phép nhưng chúng vẫn tiềm ẩn những nguy cơ khó lường.
Theo Malwarebytes, người dùng nên thận trọng với tất cả các phần mềm tải xuống từ web. Sử dụng App Store là con đường an toàn nhất dành cho người dùng Mac, tuy nhiên không phải lúc nào cũng được người dùng lựa chọn.
Người dùng nên chú ý với các kết quả của Google, URL mà người dùng được chuyển hướng và quá trình cài đặt phần mềm để đảm bảo an toàn cho chính bản thân. Ngoài ra, nên cảnh giác với các yêu cầu sau khi hoàn tất việc cài đặt.
Các phần mềm yêu cầu mở ứng dụng tại chỗ nên nhận ngay 1 phiếu tố cáo từ người dùng. Theo nguyên tắc chung, các phần mềm độc hại được quảng cáo trên Google sẽ yêu cầu người dùng kéo ứng dụng đã cài đặt vào Finder.
Ngoài ra, người dùng cần cảnh giác cao độ với các yêu cầu nhập mật khẩu sau khi cài đặt phần mềm độc hại từ quảng cáo của Google và kiểm tra hộp thư có bất thường hay lỗi chính tả trong thiết kế hay không nhé.
