ពិភពនៃមេរោគ Malware MacOS មានសមាជិកថ្មី ដែលមិនខំប្រឹងប្រែងដើម្បីរក្សារូបរាង និងមើល ទៅដូចជាកំពុងតែអភិវឌ្ឍ។ មុខងាររបស់វាត្រូវកំណត់ចំពោះការថតរូបអេក្រង់ និងដំណើរការ Backdoor ។ ជាមួយគ្នានេះខ្វះនូវ proper facade ដែលមានឈ្មោះថា OSX.LamePyre។
ការក្លែង បន្លំជាការចម្លងកម្មវិធីផ្ញើសារកម្មវិធី Discord ទៅកាន់អ្នកលេងល្បែង ដែលមេរោគនេះត្រូវរក ឃើញកាលពីថ្ងៃសុក្រ ដោយអ្នកស្រាវជ្រាវពីការគំរាមកំហែងរបស់ Malwarebytes គឺលោក Adam Thomas កត់សម្គាល់ថា ការក្លែងបន្លំនេះមិនហួសពីការលាក់បាំងដំបូងឡើយ។ គាត់និយាយ ថា “ការថតចម្លង Discord នេះហាក់ដូចជាមិនធ្វើអ្វីនោះទេ ពីព្រោះវាជាស្គ្រីប Automator ដែលមិន ធ្វើអ្វីឲ្យប៉ះពាល់ដល់អ្នកប្រើនោះទេ” ។
គ្មានអ្វីទេ ក្រៅពីរូបតំណាងទូទៅទេ
នៅពេលដែល LamePyre ដំណើរការនៅលើប្រព័ន្ធអ្នកប្រើប្រាស់នឹងឃើញរូបតំណាង Automator ទូទៅនៅក្នុង menu bar ដែលជាស្គ្រីបធម្មតាសម្រាប់ស្គ្រីបប្រភេទនេះ។ ស្គ្រីបបកប្រែ payload ដែល សរសេរនៅក្នុង Python ហើយដំណើរការនៅលើម៉ាស៊ីនជនរងគ្រោះ។ បន្ទាប់មកវាចាប់ផ្តើម ថតរូប ហើយបញ្ជូនឡើងទៅម៉ាស៊ីនមេ និងទទួលបញ្ជា (C2) ពីអ្នកវាយប្រហារ។
Thomas កត់សម្គាល់ឃើញថា ផ្នែកមួយនៃកូដ Python ត្រូវសរសេរដើម្បីបង្កើតកូដប្រភព បើកចំហរ EmPyre នៅលើប្រព័ន្ធ។ Backdoor ពិសេសនេះត្រូវគេមើលឃើញថាមានមេរោគ malware មួយផ្សេងទៀតសម្រាប់ macOS និង DarthMiner ដែលរួមបញ្ចូលលទ្ធភាពរុករក cryptocurrency ។ LamePyre ហាក់ដូចជាការងារមិនល្អ ឬជាការគំរាមកំហែង ដែលស្ថិតនៅក្រោម ការអភិវឌ្ឍន៍ព្រោះវាមិនរាប់បញ្ចូលមុខងារដែលអនុញ្ញាតឱ្យវាបញ្ជូនជាអ្នកនាំសារ Discord ស្រប ច្បាប់ទេ។ វាមិនមែនជាច្បាប់ចម្លងនៃកម្មវិធី Discord ដែលមានការកែតម្រូវដោយមិនដាក់បញ្ចូល និងបើកដំណើរការច្បាប់ចម្លងនៃកម្មវិធី Discord ដែលវាអាចធ្វើដោយងាយ ដូចជាការកកើត ឡើងវិញដើម្បីធ្វើឱ្យកម្មវិធីមើលឃើញស្របច្បាប់នោះទេ។ មិនប្រើរូបតំណាងបញ្ចុះបញ្ចូលទេ! ” បើតាមសម្តីរបស់ Malwarebytes និយាយ។
ដើម្បីរក្សាកូដព្យាបាទឲ្យដំណើរការអ្នកសរសេររួមបញ្ចូលលេខកូដដែលបង្កើតភ្នាក់ងារបើកដំណើរការជាមួយឈ្មោះបញ្ឆោត ‘com.apple.systemkeeper.plist’ ។ ដោយសារតែឥរិយាបថរបស់ malware នោះ អ្នកប្រើប្រាស់នឹងមិនដឹងថាមានអ្វីមួយហួសកន្លែងនោះទេ ហើយ LamePyre នឹងបើក Backdoor ហើយបញ្ជូនរូបថតមួយចំនួនទៅឱ្យអ្នកវាយប្រហារ។ខែធ្នូ ជាខែនៃមេរោគ masOSខែនេះឃើញសកម្មភាពជាច្រើននៅលើមុខ malware macOS ខណៈដែលមានពីរផ្សេងទៀត ត្រូវគេរកឃើញ។ DarthMiner គឺជាផ្នែកមួយរបស់ពួកគេ ចែកចាយតាមរយៈកម្មវិធីលួចចម្លង របស់ Adobe Zii សម្រាប់ការលួចចម្លងកម្មវិធីច្រើនពី Adobe។ ក្នុងករណីនេះអ្នកបង្កើតធ្វើខុសដោយប្រើនិមិត្តសញ្ញា Adobe Creative Cloud ជំនួសឱ្យរូប តំណាង Adobe Zii ដែលទាក់ទាញការសង្ស័យដែលសមនឹងទទួល។
ការគំរាមកំហែង MacOS មួយទៀតគឺ OSX.BadWord ដែលត្រូវដាក់ឈ្មោះដោយ Malwarebytes ហើយត្រូវរកឃើញ ដោយលោក John Lambert ជាវិស្វករមជ្ឈមណ្ឌលគំរាមកំហែង Microsoft។ វាត្រូវបញ្ជូនតាមរយៈ ម៉ាក្រូដែលមានគំនិតអាក្រក់នៅក្នុងឯកសារ Microsoft Word ដែលទាញយកពីភាពងាយរងគ្រោះ ពី sandbox ដើម្បីបង្កើតភ្នាក់ងារបើកដំណើរការមួយដើម្បីបើកការតស៊ូរបស់ស្គ្រីប Python ដែលបង្កើត Backdoor អ្នកបកប្រែដើម្បីចូលប្រើប្រព័ន្ធ។ គួរឱ្យចាប់អារម្មណ៍ដោយសារវាហាក់បីដូចជា OSX.BadWord មិនមែនជាការច្នៃគណិតដើមទេ ប៉ុន្តែការងារលួជចម្លងពីកូដ proof of concept code ដែលចេញផ្សាយកាលពីខែកុម្ភៈ ដោយលោក Adam Chester ពី MDSec ។
ភាពខុសគ្នាគឺស្ថិតនៅក្នុងជម្រើស Backdoor នេះ ចាប់តាំងពី Chester រៀបរាប់ពីឥទ្ធិពលដែល ឧបករណ៍នេះអាចធ្វើទៅសម្រាប់ការដោះស្រាយបញ្ហារបស់ macOS។ ក្រៅពីនេះ crook ដូចជា មិនសូវជាខិតខំប្រឹងប្រែងចំពោះការបង្កើត malware ទេ នៅពេលដែលពួកគេចាកចេញពីកូដ ហើយ សំដៅទៅលើ Chester’s blog ក៏ដោយ។ ឬប្រហែលជាពួកគេគ្រាន់តែមានអារម្មណ៍មិនល្អអំពីការ ចំណាយដែលគ្មានការធានា៕
