Khái niệm, định nghĩa Fruitfly là gì?

FruitFly là tên mã độc thuộc loại ‘cửa sau’ (backdoor) với khả năng mở cửa cho tin tặc thâm nhập từ xa vào máy Mac, cho phép người tấn công có quyền kiếm soát và điều khiển các thiết bị giao tiếp của máy, FruitFly có thể theo dõi người dùng qua webcam trên máy Mac, chụp ảnh màn hình đang hoạt động (screenshot), ghi lại các nội dung nạn nhân gõ trên bàn phím (keylogger).

FruitFly có thể âm thầm ‘ngủ đông’ hàng năm trời trên máy tính nạn nhân, âm thầm do thám ẩn bên dưới lớp nền hệ thống. Các biến thể mới được cập nhật mã nguồn để theo dõi tốt trên các máy Mac dùng macOS mới.

FruitFly đã lây nhiễm rất nhiều chiếc máy tính Mac trong khoảng 5 năm trở lại đây. Thế nhưng phải đến tận đầu năm nay, các chuyên gia bảo mật mới biết đến sự tồn tại của mã độc này.

Theo lời Patrick Wardle, đến từ công ty bảo mật Synack, mã độc này là biến thể của một phần mềm độc hại được phát hiện hồi tháng 1 năm 2017. Mã độc này thu thập các dữ liệu như ảnh chụp màn hình, thao tác phím, hình ảnh webcam của những chiếc máy bị nhiễm phải, cũng như thông tin của các máy tính khác trong mạng nội bộ. Sau khi các chuyên gia bảo mật đến từ Malwarebytes tìm thấy mã độc này, Apple đã cập nhật hệ điều hành của mình để tự động phát hiện Fruitfly.

Tuy nhiên một biến thể khác của mã độc Fruitfly do Wardle tìm thấy, lại không hề bị nhận diện bởi macOS cũng như nhiều phần mềm diệt virus thông dụng khác. Sau khi phân tích mã độc này, Wardle đã giải mã được một số tên miền dự phòng được cài cắm bên trong mã độc, từ đó tiến hành theo dõi một trong số những tên miền kể trên. Và chỉ trong vòng 2 ngày theo dõi, có hơn 400 chiếc máy Mac kết nối tới tên miền do Wardle theo dõi, chủ yếu từ bên trong lãnh thổ Mỹ.

“Điều này cho thấy rằng hàng ngày vẫn có rất nhiều kẻ đang tấn công những người sử dụng Mac cho mục đích bất chính”. Mặc dù phương thức lây nhiễm của loại mã độc này vẫn chưa được làm rõ, nhưng theo Patrick Wardle thì nhiều khả năng do người dùng vì quá tự tin vào khả năng bảo mật của macOS mà chủ quan bấm vào những đường link có chứa mã độc.

Server điều khiển chính của mã độc Fruitfly đã bị đóng cửa từ lâu, nhưng những chiếc máy tính bị nhiễm mã độc vẫn tiếp tục gửi thông tin đến với các server dự phòng khác. Điều này khiến các chuyên gia bảo mật tin rằng, người phát triển mã độc Fruitfly đã “rửa tay gác kiếm”. Tuy nhiên những người khác vẫn hoàn toàn có thể đăng ký một trong những tên miền dự phòng nói trên để thu thập những thông tin được mã độc gửi tới.

Một trong những đặc điểm thú vị nhất của chủng mã độc do Wardle phát hiện, chính là việc Fruitfly có thể “ẩn mình” không bị phát hiện trong suốt nhiều năm qua. Mã độc này sử dụng những tính năng tương đối cũ kỹ, cũng như dùng những phương thức hết sức thô sơ để tự cài đặt vào những chiếc máy tính bị nhiễm. Nếu như so với những chủng mã độc của hiện tại, thì Fruitfly cực kỳ dễ bị phát hiện. Thế nhưng phải mãi tới gần đây các chuyên gia bảo mật mới tìm thấy được mã độc này. Hiện nay thì những người sử dụng macOS đã hoàn toàn có thể yên tâm, bởi rất nhiều phần mềm diệt virus hàng đầu đã có thể phát hiện và diệt trừ loại mã độc “cổ xưa” này.