Theo đó, các chuyên gia an ninh mạng từ Sophos X-Ops gần đây đã quan sát thấy các tác nhân đe dọa đang sử dụng phương pháp Bring Your Own Vulnerable Driver (BYOVD) để triển khai một công cụ có tên AuKill, có khả năng vô hiệu hóa các chương trình bảo mật đang được cài đặt trên thiết bị của nạn nhân.
Bước đầu tiên trong phương pháp BYOVD, tin tặc sẽ tìm cách cài cắm trình điều khiển hợp pháp nhưng tồn tại lỗ hổng dễ bị tấn công vào thiết bị đầu cuối của nạn nhân. Việc này thường được thực hiện thông qua các cuộc tấn công và phát tán trình điều khiển qua email lừa đảo.
Các trình điều khiển độc hại thường có khả năng chạy với các đặc quyền của hệ thống, được gọi là procexp.sys và được phân phối cùng với trình điều khiển hợp pháp, được sử dụng bằng Process Explorer v16.32 của Microsoft (một chương trình quản lý và thu thập dữ liệu trên các tiến trình Windows đang hoạt động).
Sau khi tệp DLL độc hại được thực thi, việc đầu tiên là nó sẽ tự kiểm tra xem bản thân có đang hoạt động với đặc quyền hệ thống hay không. Nếu có, tệp độc hại này sẽ bắt đầu kiểm tra và vô hiệu hóa các tiến trình và dịch vụ bảo mật của hệ thống.
Sau khi vô hiệu hóa các chương trình bảo mật, những kẻ đứng sau AuKill sẽ triển khai phần mềm độc hại. Theo báo cáo của Sophos X-Ops, tin tặc đôi lúc sẽ triển khai cả Medusa Locker hoặc LockBit - cả hai biến thể ransomware cực kỳ mạnh và phổ biến hiện nay.
Mặc dù công cụ này có vẻ ít được biết đến và chỉ mới được phát hiện, nhưng một trong các biến thể của nó cho thấy đã hoạt động từ tháng 11/2022. Các nhà nghiên cứu kết luận rằng phiên bản mới nhất được phát hiện vào giữa tháng 2/2023. Mã của nó tương tự như mã của công cụ mã nguồn mở Backstab cũng có khả năng vô hiệu hóa các chương trình chống virus. Những kẻ tấn công LockBit cũng từng triển khai Backstab trong quá khứ.
Nguyễn Chân
14:00 | 13/02/2023
14:00 | 19/05/2023
15:00 | 21/10/2019
09:00 | 07/06/2023
14:59 | 22/05/2017
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024