Một lần nữa, tin tặc đã thể hiện sự tinh vi và nguy hiểm khi tung ra phần mềm độc hại có khả năng vô hiệu hóa các chương trình diệt virus, đồng thời thực hiện đào tiền điện tử một cách âm thầm trên các thiết bị của người dùng. Theo các chuyên gia an ninh mạng từ Elastic Security Labs và Antiy, đã phát hiện một chiến dịch tấn công mạng mới có tên là REF4578, nhằm vào các thiết bị đã cài đặt chương trình diệt virus.
Chiến dịch tấn công mạng REF4578 đang gây ra mối đe dọa lớn đối với người dùng máy tính.
Kẻ tấn công đã sử dụng trình điều khiển dễ bị tấn công để xâm nhập vào hệ thống, vô hiệu hóa và gỡ cài đặt phần mềm bảo mật. Sau đó, họ đã cài đặt XMRig, một công cụ đào tiền điện tử phổ biến, để khai thác trái phép tài nguyên của người dùng. Hiện tại, danh tính của nhóm tội phạm thực hiện cuộc tấn công này vẫn chưa được xác định, và số lượng thiết bị ảnh hưởng cũng chưa được thống kê cụ thể.
Phương thức chính xác mà kẻ tấn công sử dụng để lan truyền phần mềm độc hại vẫn chưa rõ, nhưng các nhà nghiên cứu dự đoán rằng lừa đảo trực tuyến (phishing), mạng xã hội, tin nhắn, quảng cáo độc hại và mạo danh là những kênh phổ biến.
Người bị hại sẽ nhận được một tập tin exe mang tên Tiworker, được giả mạo thành một tập tin hợp pháp của Windows. Sau khi thực thi tập tin này, nó sẽ cài đặt một chuỗi lệnh PowerShell có tên GhostEngine, thực hiện các hành động nguy hiểm mà không gây ra sự chú ý.
GhostEngine đã vô hiệu hóa Windows Defender, kích hoạt các dịch vụ từ xa, xóa nhật ký sự kiện và tải hai trình điều khiển dễ bị tấn công: aswArPots.sys (của Avast) và IObitUnlockers.sys (của IObit) để gỡ cài đặt phần mềm diệt virus.
Khi GhostEngine đã hoàn thành quá trình vô hiệu hóa bảo mật, họ sẽ tiến hành triển khai XMRig để bắt đầu khai thác tiền điện tử Monero (XMR) một cách ẩn danh. Monero là loại tiền điện tử được ưa chuộng bởi các tội phạm mạng vì tính bảo mật và đặc tính ẩn danh của nó.
Để đề phòng khỏi nguy cơ này, người dùng cần chú ý đến các biểu hiện sau đây:
Cách hoạt động của chương trình diệt virus trở nên không bình thường.
- Các file hoặc ứng dụng lạ xuất hiện trên máy tính
- Hiệu suất máy tính giảm sút
- Mức sử dụng CPU hoặc mạng cao bất thường
Trong trường hợp có nghi ngờ rằng thiết bị của mình đã bị nhiễm mã độc REF4578, người dùng nên sử dụng phần mềm chống virus đáng tin cậy để quét và loại bỏ các phần mềm gây hại. Đồng thời, cần thường xuyên cập nhật hệ điều hành và phần mềm để bảo vệ khỏi các lỗ hổng bảo mật.
