.jpg)
Theo đó, các chuyên gia an ninh mạng từ Sophos X-Ops gần đây đã quan sát thấy các tác nhân đe dọa đang sử dụng phương pháp Bring Your Own Vulnerable Driver (BYOVD) để triển khai một công cụ có tên AuKill, có khả năng vô hiệu hóa các chương trình bảo mật đang được cài đặt trên thiết bị của nạn nhân.
Bước đầu tiên trong phương pháp BYOVD, tin tặc sẽ tìm cách cài cắm trình điều khiển hợp pháp nhưng tồn tại lỗ hổng dễ bị tấn công vào thiết bị đầu cuối của nạn nhân. Việc này thường được thực hiện thông qua các cuộc tấn công và phát tán trình điều khiển qua email lừa đảo.
Các trình điều khiển độc hại thường có khả năng chạy với các đặc quyền của hệ thống, được gọi là procexp.sys và được phân phối cùng với trình điều khiển hợp pháp, được sử dụng bằng Process Explorer v16.32 của Microsoft (một chương trình quản lý và thu thập dữ liệu trên các tiến trình Windows đang hoạt động).
Sau khi tệp DLL độc hại được thực thi, việc đầu tiên là nó sẽ tự kiểm tra xem bản thân có đang hoạt động với đặc quyền hệ thống hay không. Nếu có, tệp độc hại này sẽ bắt đầu kiểm tra và vô hiệu hóa các tiến trình và dịch vụ bảo mật của hệ thống.
Sau khi vô hiệu hóa các chương trình bảo mật, những kẻ đứng sau AuKill sẽ triển khai phần mềm độc hại. Theo báo cáo của Sophos X-Ops, tin tặc đôi lúc sẽ triển khai cả Medusa Locker hoặc LockBit - cả hai biến thể ransomware cực kỳ mạnh và phổ biến hiện nay.
Mặc dù công cụ này có vẻ ít được biết đến và chỉ mới được phát hiện, nhưng một trong các biến thể của nó cho thấy đã hoạt động từ tháng 11/2022. Các nhà nghiên cứu kết luận rằng phiên bản mới nhất được phát hiện vào giữa tháng 2/2023. Mã của nó tương tự như mã của công cụ mã nguồn mở Backstab cũng có khả năng vô hiệu hóa các chương trình chống virus. Những kẻ tấn công LockBit cũng từng triển khai Backstab trong quá khứ.
Nguyễn Chân
14:00 | 13/02/2023
14:00 | 19/05/2023
16:00 | 04/08/2024
15:00 | 21/10/2019
09:00 | 07/06/2023
14:59 | 22/05/2017
15:00 | 11/02/2025
Mới đây, Kaspersky Lab đã ghi nhận một loại mã độc mới có khả năng đánh cắp dữ liệu từ ảnh trên iPhone bằng cách sử dụng WannaCry và kỹ thuật nhận dạng ký tự quang học (OCR).
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
16:00 | 18/12/2024
Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.
11:00 | 05/12/2024
Hãng viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng công ty cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
