Một lần nữa, tin tặc lại cho thấy sự tinh vi và nguy hiểm khi phát tán phần mềm độc hại có khả năng vô hiệu hóa cả chương trình diệt virus, âm thầm đào tiền điện tử trên thiết bị của người dùng. Theo các nhà nghiên cứu an ninh mạng từ Elastic Security Labs và Antiy, một chiến dịch tấn công mạng mới mang tên REF4578 đã được phát hiện, nhắm mục tiêu vào các thiết bị có cài đặt chương trình diệt virus.
Chiến dịch tấn công mạng REF4578 mà mối đe dọa lớn cho người dùng máy tính.
Kẻ tấn công sử dụng trình điều khiển (driver) dễ bị tấn công để xâm nhập hệ thống, vô hiệu hóa và gỡ cài đặt phần mềm bảo mật. Sau đó, chúng cài đặt XMRig, một công cụ đào tiền điện tử phổ biến, để khai thác trái phép tài nguyên của người dùng. Hiện tại, danh tính của nhóm tội phạm thực hiện chiến dịch này vẫn chưa được xác định, và số lượng thiết bị bị ảnh hưởng cũng không được thống kê cụ thể.
Chưa rõ phương thức chính xác mà kẻ tấn công sử dụng để lan truyền phần mềm độc hại, nhưng các nhà nghiên cứu dự đoán rằng lừa đảo trực tuyến (phishing), mạng xã hội, tin nhắn, quảng cáo độc hại và mạo danh là những kênh phổ biến.
Nạn nhân sẽ nhận được một tệp tin exe có tên Tiworker được ngụy trang thành file hợp pháp của Windows. Khi tệp tin này được thực thi, nó sẽ cài đặt tập lệnh PowerShell có tên GhostEngine, âm thầm thực hiện nhiều hành động nguy hiểm.
GhostEngine vô hiệu hóa Windows Defender, kích hoạt các dịch vụ từ xa, xóa nhật ký sự kiện và tải hai trình điều khiển dễ bị tấn công: aswArPots.sys (của Avast) và IObitUnlockers.sys (của IObit) để gỡ cài đặt phần mềm diệt virus.
Sau khi hoàn tất việc vô hiệu hóa bảo mật, GhostEngine sẽ triển khai XMRig, bắt đầu khai thác tiền điện tử Monero (XMR) một cách bí mật. Loại tiền điện tử này được ưa chuộng bởi tội phạm mạng vì tính bảo mật và ẩn danh cao.
Để bảo vệ bản thân khỏi mối đe dọa này, người dùng cần lưu ý một số dấu hiệu sau:
- Hoạt động của phần mềm diệt virus trở nên bất thường
- Xuất hiện các tệp tin hoặc chương trình lạ trên máy tính
- Hiệu suất máy tính giảm sút
- Mức sử dụng CPU hoặc mạng cao bất thường
Nếu nghi ngờ thiết bị của mình bị nhiễm REF4578, người dùng nên sử dụng phần mềm diệt virus uy tín để quét và loại bỏ phần mềm độc hại. Đồng thời, cần cập nhật hệ điều hành và phần mềm thường xuyên để vá các lỗ hổng bảo mật.