Đe Dọa Mới: Malware ReaderUpdate và Những Biến Thể Đáng Ngại

27/03/2025
2 mins read


Bài viết thảo luận về những biến thể mới của malware ReaderUpdate nhắm đến người dùng macOS. Dưới đây là các điểm chính:

  1. Biến thể và Ngôn ngữ:
    – Malware ReaderUpdate đã được cập nhật với các biến thể mới được viết bằng các ngôn ngữ lập trình Crystal, Nim, Rust và Go.
    – Ban đầu, nó đã được phân phối dưới dạng nhị phân Python đã biên dịch vào năm 2020, nhưng đã xuất hiện trở lại với các biến thể mới vào cuối năm 2024.
  2. Phân phối:
    – Malware này lây lan qua các nhiễm trùng cũ và tải xuống từ bên thứ ba, thường thông qua các ứng dụng bị trojan hóa như “DragonDrop”.
    – Nó cũng được phân phối qua các trang tải xuống phần mềm miễn phí và bên thứ ba, bao gồm các trình cài đặt gói độc hại chứa các ứng dụng tiện ích giả hoặc bị trojan hóa.
  3. Hành vi và Độ bền:
    – Biến thể Go của malware thu thập thông tin phần cứng hệ thống để tạo mã định danh người dùng duy nhất và ẩn chứa trong `~/Library/Application Support/`.
    – Nó duy trì độ bền thông qua một tệp `.plist` và thực thi các lệnh C2 từ xa.
    – Malware này làm rối rắm chuỗi và URL để né tránh phân tích, sử dụng các hàm tập hợp ký tự trên ngăn xếp hoặc chạy các thuật toán thay thế ký tự đơn giản.
  4. Thách thức trong Phát hiện và Phân tích:
    – Mỗi biến thể của ReaderUpdate có những thách thức độc đáo trong việc phát hiện và phân tích do nguồn gốc ngôn ngữ đa dạng của nó.
    – Biến thể Go, ví dụ, chỉ có chín mẫu được quan sát, liên quan đến bảy miền C&C, làm cho nó ít phổ biến hơn so với các biến thể Nim, Crystal và Rust.
  5. Tiềm năng cho Payload độc hại:
    – Mặc dù các nhiễm trùng chỉ liên quan đến adware đã biết, loader có khả năng thay đổi payload thành một thứ độc hại hơn, nhất quán với một nền tảng loader có thể được sử dụng cho Pay-Per-Install (PPI) hoặc Malware-as-a-Service (MaaS).
  6. Phát hiện bởi SentinelOne:
    – Nền tảng Singularity™ của SentinelOne phát hiện tất cả các biến thể đã biết của malware ReaderUpdate, cung cấp một danh sách toàn diện các chỉ số để hỗ trợ các nhà bảo vệ trong việc xác định và khắc phục các nhiễm trùng.

Tóm lại, các biến thể mới của malware ReaderUpdate là một mối đe dọa đáng kể đối với người dùng macOS, được phân phối qua nhiều phương tiện và được viết bằng nhiều ngôn ngữ lập trình khác nhau. Khả năng né tránh phát hiện của malware và tiềm năng của nó trong việc cung cấp payload độc hại khiến đây trở thành một diễn biến đáng lo ngại trong lĩnh vực an ninh mạng.