Mã độc Fauxpersky giả mạo phần mềm diệt virus Kaspersky đánh cắp thông tin người dùng

Đăng ngày: 05/04/2018

Theo thông tin đăg tải trên trang SCMagazine ngày 2/4/2018, các nhà nghiên cứu bảo mật vừa phát hiện ra một chủng mã độc mới hoạt động trên hệ điều hành Windows và giả mạo phần mềm phòng chống virus Kaspersky để đánh cắp thông tin người dùng.

Cụ thể, mã độc này được đặt tên là Fauxpersky và cũng được viết bằng công cụ AutoHotKey (AHK) – công cụ thường được sử dụng để tạo các phím tắt trên Windows.

Theo một bài đăng trên blog của Cybereason, mã độc Fauxpersky tận dụng các tính năng của AHK nhằm chiếm quyền đọc văn bản trên Windows. Đồng thời mã độc này cũng lợi dụng hệ thống phím tắt của công cụ này để kích hoạt các ứng dụng khác.

Được biết, mã độc Fauxpersky được phát tán đi bằng một tập tin nén trong đó có một tập tin thực thi có tên “Kaspersky Internet Security 2017”, một tập tin “Readme.txt” và một tập tin hình ảnh chứa logo của Kaspersky nhằm đánh lừa người dùng.

Ngay sau khi người dùng tải về và khởi chạy tập tin thực thi “Kaspersky Internet Security 2017”, mã độc sẽ khởi tạo 4 tiến trình được đặt tên theo đúng các tiến trình mặc định của Windows bao gồm Explorers.exe, Svhost.exe, Taskhost.exe, và Spoolsvc.exe. Trong đó, tiến trình Explorers.exe đóng vai trò trong việc tự nhân bản ra nhiều thư mục khác nhau đồng thời lây nhiễm vào các thiết bị ngoại vi đang được kết nối vào máy tính của nạn nhân.

Tiến trình Svhost.exe có vai trò như một keylogger, sử dụng chức năng AHK để theo dõi hoạt động của người dùng và ghi lại mọi thao tác nhập liệu trên bàn phím của người dùng, tiến trình Taskhost.exe sẽ xử lý các dữ liệu và cuối cùng tiến trình Spoolsvc.exe sẽ trích xuất các dữ liệu ghi nhận được vào một bảng ghi chú của Google.

Theo các nhà nghiên cứu bảo mật tại Cybereason Nocturus Research, việc trích xuất dữ liệu lên bộ biểu mẫu Google giúp cho mã độc ẩn mình dễ dàng hơn, khó bị phát hiện bởi các hệ thống giám sát.

Được biết, Google đã lập tức xóa bỏ các tập tin này ngay sau khi nhận được báo cáo về mã độc.

– Ban Truyền thông iSpace –

(Tổng hợp theo https://www.scmagazine.com)

iSPACE – Đào tạo An ninh mạng trên Thao trường mạng tiên tiến bậc nhất thế giới hiện nay.
Tìm hiểu thêm: Tại đây

    Bài liên quan

    2017 Designed by iweb247.vn
    ĐĂNG KÝ TRỰC TUYẾN