Các nhà nghiên cứu của Cyfirma đang cảnh báo người dùng Windows. Các chuyên gia cho biết họ đã phát hiện ra dấu vết của phần mềm độc hại mới nhắm vào hệ điều hành CyberEYE. Đây là một con ngựa thành Troy có mô-đun truy cập từ xa cho phép tin tặc kiểm soát máy tính.
Phần mềm độc hại này đang được phân phối rộng rãi thông qua các kênh Telegram, nơi ưa thích của tội phạm mạng và các kho lưu trữ GitHub công khai. Hai tin tặc có tên là @cisamul23 và @CodQu đứng sau phần mềm độc hại này. Chúng cung cấp phần mềm này cho những tên tội phạm mạng khác với một khoản phí đăng ký. Loại vi-rút này nổi bật vì dễ sử dụng.
Mục đích chính của loại vi-rút này là đánh cắp dữ liệu cá nhân của nạn nhân, đặc biệt là thông tin đăng nhập, khóa riêng được liên kết với ví tiền điện tử và mật khẩu Wi-Fi. Dữ liệu bị đánh cắp bởi một bot Telegram do tội phạm mạng phát triển. Đây là lý do tại sao virus đôi khi được gọi là TelegramRAT.
Nguồn: Cyfirma
Phần mềm độc hại này đang được phân phối rộng rãi thông qua các kênh Telegram, nơi ưa thích của tội phạm mạng và các kho lưu trữ GitHub công khai. Hai tin tặc có tên là @cisamul23 và @CodQu đứng sau phần mềm độc hại này. Chúng cung cấp phần mềm này cho những tên tội phạm mạng khác với một khoản phí đăng ký. Loại vi-rút này nổi bật vì dễ sử dụng.
Mục đích chính của loại vi-rút này là đánh cắp dữ liệu cá nhân của nạn nhân, đặc biệt là thông tin đăng nhập, khóa riêng được liên kết với ví tiền điện tử và mật khẩu Wi-Fi. Dữ liệu bị đánh cắp bởi một bot Telegram do tội phạm mạng phát triển. Đây là lý do tại sao virus đôi khi được gọi là TelegramRAT.
CyberEYE vô hiệu hóa Microsoft Defender như thế nào?
Ưu điểm chính của CyberEYE là khả năng vô hiệu hóa Microsoft Defender, phần mềm diệt vi-rút mặc định trên máy tính Windows. Để vô hiệu hóa, virus trực tiếp sửa đổi sổ đăng ký Windows. Bằng cách sửa đổi các giá trị trong sổ đăng ký, phần mềm độc hại có thể vô hiệu hóa các chức năng diệt vi-rút chính. Đầu tiên, nó tấn công vào khả năng bảo vệ chống lại các sửa đổi trái phép, được cho là ngăn chặn phần mềm diệt vi-rút bị vô hiệu hóa. Để hoàn tất quá trình vô hiệu hóa Defender, CyberEYE thực thi các lệnh PowerShell sẽ chặn các biện pháp bảo vệ khác do phần mềm diệt vi-rút cung cấp. Với cuộc tấn công kép này, CyberEYE đảm bảo rằng các biện pháp phòng thủ của Windows Defender bị vô hiệu hóa hoàn toàn, ngay cả những biện pháp có thể chống lại các sửa đổi sổ đăng ký. Toàn bộ quá trình diễn ra mà người dùng không hề nghi ngờ gì. Sau khi phần mềm diệt vi-rút bị tê liệt, virus có thể tự do đánh cắp dữ liệu của người dùng mà không bị trừng phạt. Lưu ý rằng CyberEYE có nhiều cơ chế tồn tại dai dẳng nhằm đảm bảo rằng vi-rút vẫn tồn tại vững chắc trên máy tính. Theo Cyfirma, CyberEYE là "mối đe dọa dai dẳng mới" khiến máy tính Windows gặp rủi ro. Các nhà nghiên cứu dự đoán rằng "các biến thể mới" của loại vi-rút này sẽ được tội phạm mạng phát triển nhanh chóng, làm tăng nguy cơ cho người dùng. Cyfirma không nêu rõ cách phần mềm độc hại lây lan sang máy tính. Phương pháp lây nhiễm có thể phụ thuộc vào tin tặc sử dụng vi-rút.Nguồn: Cyfirma
