Phần mềm hợp pháp bị lợi dụng để phát tán mã độc vô hiệu hóa phần mềm diệt virus

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.814 bài viết
Phần mềm hợp pháp bị lợi dụng để phát tán mã độc vô hiệu hóa phần mềm diệt virus
WhiteHat Team
Các chuyên gia bảo mật vừa phát hiện một chiến dịch tấn công tinh vi, trong đó phần mềm có chữ ký số hợp lệ đã bị lợi dụng để phát tán mã độc chạy với quyền cao nhất (SYSTEM), nhằm vô hiệu hóa các phần mềm diệt virus trên diện rộng.
1776418411739.png

Chỉ trong một ngày, hơn 23.500 máy tính tại 124 quốc gia đã bị ảnh hưởng và kết nối tới máy chủ điều khiển. Đáng chú ý, nhiều hệ thống thuộc các lĩnh vực quan trọng như giáo dục, năng lượng, cơ quan nhà nước và y tế cũng nằm trong số nạn nhân.

Phần mềm liên quan được ký bởi công ty Dragon Boss Solutions LLC, đơn vị phát triển một số trình duyệt như Chromstera hay Web Genius. Các phần mềm này thuộc nhóm “phần mềm không mong muốn” (PUP), tức là không phải nhiễm mã độc ngay từ đầu, nhưng thường gây phiền toái như hiển thị quảng cáo hoặc chuyển hướng trình duyệt.

Tuy nhiên, trong chiến dịch lần này, chính cơ chế cập nhật của các phần mềm này đã bị lợi dụng để tải và thực thi thêm mã độc. Cụ thể, hệ thống sẽ tự động tải về các gói cài đặt ẩn (MSI) và chạy các script PowerShell mà không cần tương tác từ người dùng, với quyền quản trị cao nhất.

Trước khi triển khai mã độc chính, chương trình sẽ “trinh sát” hệ thống: kiểm tra quyền quản trị, phát hiện môi trường máy ảo, xác nhận kết nối mạng và dò tìm các phần mềm bảo mật như Malwarebytes, Kaspersky, McAfee hay ESET.

Sau đó, một script tên ClockRemoval.ps1 sẽ tiến hành vô hiệu hóa antivirus bằng cách dừng dịch vụ, xóa file, gỡ cài đặt và chặn kết nối tới máy chủ của các hãng bảo mật. Điều này khiến người dùng không thể cài lại hoặc cập nhật phần mềm diệt virus.
1776417792545.png

Sơ đồ mô tả toàn bộ chuỗi tấn công (attack chain) của chiến dịch mã độc. - Ảnh: Huntress

Đáng lo ngại, mã độc còn thiết lập cơ chế bám trụ bằng cách tạo tác vụ tự động và sự kiện hệ thống để liên tục khởi chạy lại, đảm bảo vẫn hoạt động ngay cả khi bị phát hiện hoặc xóa một phần.

Ngoài ra, hạ tầng máy chủ cập nhật chính chưa được đăng ký tên miền, đồng nghĩa với việc bất kỳ ai cũng có thể chiếm quyền và phát tán thêm mã độc nguy hiểm hơn tới các máy đã nhiễm.

Các chuyên gia khuyến cáo quản trị viên cần kiểm tra các dấu hiệu bất thường như tác vụ lạ (ClockRemoval, WMILoad), thay đổi file hosts chặn kết nối tới hãng bảo mật hoặc các tiến trình mang chữ ký của Dragon Boss Solutions. Đây có thể là dấu hiệu hệ thống đã bị xâm nhập.
Theo Bleeping Computer
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • AtlasCross RAT: Giả mạo phần mềm quen thuộc, chiếm quyền máy tính người dùng
  • Phân tích kỹ thuật khai thác lỗ hổng React2Shell CVE-2025-55182
  • Lỗi cũ trên Windows có thể cho phép cài mã độc tấn công phần mềm sao lưu QNAP
  • “Phantom Extensions”: Khi trình duyệt Chrome và Edge trở thành cửa ngõ rò rỉ dữ liệu
  • Lỗ hổng trong Spring Framework cho phép vượt phân quyền trên generic
  • Lỗ hổng trong phần mềm ASUS mở cửa cho hacker tấn công Windows
    • Thẻ
    chiến dịch tấn công mạng toàn cầu dragon boss solutions mã độc adware phần mềm pup nguy hiểm script powershell mã độc tấn công vô hiệu hóa antivirus
    Bên trên