Theo công ty bảo mật và phần mềm Malwarebytes (Mỹ), phần mềm độc hại này được đặt tên là Troubleshooter. Sau khi xâm nhập vào máy tính nạn nhân, nó đưa ra một BSOD giả mạo, có vẻ như đã khóa người sử dụng. Sau đó, nó đưa ra một chương trình khắc phục sự cố, giả mạo một tiện ích của Windows. Tiện ích này làm như đã phát hiện ra “vấn đề” trên máy tính nạn nhân, sau đó khuyến cáo nạn nhân thanh toán 25 USD qua PayPal để mua gói phần mềm Windows Defender Essentials nhằm khắc phục vấn đề này.
Phần mềm độc hại này tắt các phím tắt, nên người dùng không thể đóng các cửa sổ bật lên. Đồng thời, nó chụp màn hình máy tính của nạn nhân và gửi đến một địa chỉ IP điều khiển từ xa.
Malwarebytes cũng cho biết, Troubleshooter lây lan chủ yếu qua các bản crack phần mềm miễn phí trên mạng. Nếu nạn nhân trả tiền, họ sẽ được chuyển đến trang web “cảm ơn” và phần mềm độc hại sẽ ngừng hoạt động. Tuy nhiên, người dùng cũng có thể khắc phục vấn đề này hoàn toàn miễn phí bằng cách khởi động lại máy tính, vào Safe Mode và gỡ bỏ tệp.
Việc lừa đảo thông qua hình thức giả mạo hỗ trợ khắc phục sự cố đã diễn ra từ cách đây một thập kỷ với nhiều hình thức khác nhau. Một số kẻ lừa đảo gọi điện và tự xưng là các kỹ thuật viên làm việc cho các công ty nổi tiếng như Microsoft hay Apple. Trong khi đó, những kẻ lừa đảo khác thiết kế cửa sổ pop-up, giả mạo cảnh báo về các vấn đề trên máy tính. Những cửa số pop-up này nói rằng đã phát hiện thấy virus hoặc phần mềm độc hại trên máy tính của người dùng, tự nhận là hỗ trợ kỹ thuật và sẽ yêu cầu người dùng cho phép truy cập từ xa vào máy tính. Những kẻ lừa đảo sẽ trình bày một vấn đề không tồn tại và yêu cầu người dùng thanh toán cho các dịch vụ không cần thiết hoặc thậm chí có hại.
Do đó, người dùng cần cảnh giác khi thấy các cửa sổ pop-up, cuộc gọi, thư rác, hoặc thư khẩn cấp về các vấn đề trên máy tính; không được nhấp chuột vào bất kỳ liên kết nào, không gọi vào số điện thoại được cung cấp hoặc gửi tiền.
TC InfoSecurity online
13:00 | 08/11/2017
09:43 | 08/09/2017
08:05 | 18/07/2017
08:00 | 29/12/2017
08:00 | 11/06/2018
13:00 | 30/06/2020
11:00 | 16/05/2024
Kể từ tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler đã phát hiện một nhóm tin tặc sử dụng các tên miền giả để mạo danh các trang web quét IP hợp pháp nhằm phát tán backdoor có tên là MadMxShell. Những kẻ tấn công đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật Typosquatting và tận dụng quảng cáo Google Ads để đẩy các tên miền này lên đầu kết quả tìm kiếm, từ đó thu hút nạn nhân truy cập các trang web độc hại. Bài viết sẽ tiến hành phân tích kỹ thuật và cơ sở hạ tầng của các tác nhân đe dọa trong chiến dịch này dựa trên báo cáo của Zscaler.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024