Các nhà nghiên cứu đã phát hiện ra phần mềm độc hại này tại một số trang web, từ các trang web cung cấp các phần mềm vi phạm bản quyền, đến một số liên kết tìm kiếm Google (các liên kết không được tài trợ và có xếp hạng thấp). Theo khuyến cáo của Intego, người dùng có thể bị lây nhiễm trojan này từ các nguồn vô hại như các kết quả tìm kiếm của Google được xếp hạng thấp.
Phần mềm độc hại OSX/CrescentCore được phát hiện lần đầu tiên trên một trang web truyện tranh, đăng tải các bản sao kỹ thuật số của các truyện tranh mới. Trojan này được ngụy trang dưới dạng các bản cập nhật Flash Player trên trình duyệt, tuy nhiên nếu chú ý quan sát người dùng sẽ nhận thấy nó hoàn toàn khác với các thông báo của bản cập nhật Flash Player hợp pháp. Đặc biệt là những người dùng Chrome trên Mac sẽ nghi ngờ, vì trình duyệt Chrome trên Mac có phiên bản Flash tích hợp riêng và được cập nhật tự động.
Các nhà nghiên cứu cũng đưa ra khuyến cáo, người dùng không nên cài đặt Flash Player và tiếp tục sử dụng chúng trong năm 2019. Gần như tất cả các trang web phổ biến đã ngừng hoặc có thông báo về tiến trình ngừng các dịch vụ dựa vào Flash. Nguyên nhân bởi Adobe đã không còn lên kế hoạch phát hành bản cập nhật bảo mật cho Flash Player.
Trojan OSX/CrescentCore giả dạng Flash Player thường được phân phối dưới dạng file đĩa ảo có dạng *.dmg để lẩn tránh các phần mềm diệt virus. Tuy nhiên, nó còn được thiết kế thêm một số khả năng bổ sung làm cho phần mềm chống virus khó phát hiện hơn, đồng thời chống lại việc dịch ngược của các nhà nghiên cứu mã độc.
Sau khi nạn nhân truy cập file đĩa ảo có dạng *.dmg và mở ứng dụng Flash Player, phần mềm độc hại này sẽ kiểm tra xem liệu nó thực thi trong môi trường Sandbox hay không. Nếu bị phát hiện, OSX/CrescentCore sẽ không thực thi bất kể hành động nào để ngăn chặn việc bị phân tích hành vi.
OSX/CrescentCore cũng kiểm tra sự tồn tại của của chương trình chống virus. Nếu không có, phần mềm độc hại này sẽ tiến hành thay đổi cài đặt LaunchAgent trên máy của nạn nhân. OSX/CrescentCore truy cập vào giao diện đồ họa người dùng và hiển thị thông tin ứng dụng, đây là một sự lây nhiễm dai dẳng với người dùng Mac không sử dụng phần mềm chống virus.
Một biến thể thứ hai của phần mềm độc hại này cũng đã bị phát hiện và đang được các chuyên gia tiến hành phân tích. Với biến thể này, trình cài đặt trojan có thể cài đặt phần mềm giả mạo có tên Advanced Advanced Cleaner Cleaner (OSX/AMC) hoặc cài đặt tiện ích mở rộng độc hại trình duyệt Safari.
Nhật Minh
Theo SC magazine
08:36 | 12/07/2016
09:53 | 22/08/2017
09:03 | 06/07/2017
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024
