Theo đó, các chuyên gia an ninh mạng từ Sophos X-Ops gần đây đã quan sát thấy các tác nhân đe dọa đang sử dụng phương pháp Bring Your Own Vulnerable Driver (BYOVD) để triển khai một công cụ có tên AuKill, có khả năng vô hiệu hóa các chương trình bảo mật đang được cài đặt trên thiết bị của nạn nhân.
Bước đầu tiên trong phương pháp BYOVD, tin tặc sẽ tìm cách cài cắm trình điều khiển hợp pháp nhưng tồn tại lỗ hổng dễ bị tấn công vào thiết bị đầu cuối của nạn nhân. Việc này thường được thực hiện thông qua các cuộc tấn công và phát tán trình điều khiển qua email lừa đảo.
Các trình điều khiển độc hại thường có khả năng chạy với các đặc quyền của hệ thống, được gọi là procexp.sys và được phân phối cùng với trình điều khiển hợp pháp, được sử dụng bằng Process Explorer v16.32 của Microsoft (một chương trình quản lý và thu thập dữ liệu trên các tiến trình Windows đang hoạt động).
Sau khi tệp DLL độc hại được thực thi, việc đầu tiên là nó sẽ tự kiểm tra xem bản thân có đang hoạt động với đặc quyền hệ thống hay không. Nếu có, tệp độc hại này sẽ bắt đầu kiểm tra và vô hiệu hóa các tiến trình và dịch vụ bảo mật của hệ thống.
Sau khi vô hiệu hóa các chương trình bảo mật, những kẻ đứng sau AuKill sẽ triển khai phần mềm độc hại. Theo báo cáo của Sophos X-Ops, tin tặc đôi lúc sẽ triển khai cả Medusa Locker hoặc LockBit - cả hai biến thể ransomware cực kỳ mạnh và phổ biến hiện nay.
Mặc dù công cụ này có vẻ ít được biết đến và chỉ mới được phát hiện, nhưng một trong các biến thể của nó cho thấy đã hoạt động từ tháng 11/2022. Các nhà nghiên cứu kết luận rằng phiên bản mới nhất được phát hiện vào giữa tháng 2/2023. Mã của nó tương tự như mã của công cụ mã nguồn mở Backstab cũng có khả năng vô hiệu hóa các chương trình chống virus. Những kẻ tấn công LockBit cũng từng triển khai Backstab trong quá khứ.
Nguyễn Chân
14:00 | 13/02/2023
14:00 | 19/05/2023
16:00 | 04/08/2024
15:00 | 21/10/2019
09:00 | 07/06/2023
14:59 | 22/05/2017
11:00 | 29/11/2024
Microsoft đã thu giữ 240 tên miền được khách hàng của nền tảng dịch vụ lừa đảo qua mạng ONNX sử dụng để nhắm vào các cá nhân và tổ chức của Mỹ và trên toàn thế giới kể từ năm 2017.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
13:00 | 31/10/2024
Từ đầu năm 2023 đến tháng 9/2024, các chuyên gia của hãng bảo mật Kaspersky đã phát hiện hơn 500 tin quảng cáo về công cụ Exploit để khai thác các lỗ hổng zero-day trên web đen và các kênh Telegram ẩn dạnh.
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 28/11/2024