Phương thức mới: "Ẩn malware trong ứng dụng Window"

Ngày càng có nhiều phương thức mới để xâm nhập vào thông tin của người dùng kể cả với những ứng dụng có tính bảo mật cao. Mặc dù có hệ thống an ninh nghiêm ngặt nhưng mỗi một ứng dụng đều có lỗ hổng riêng cho dù tìm ra lỗ hổng đó rất khó khăn thì tin tặc vẫn có cách để vào. Đó là nguyên nhân mà tin tặc có thể ẩn malware trong ứng dụng của Window. Cùng tìm hiểu xem cụ thể bằng cách nào chúng có thể xâm nhập và cách xử lý nhanh chóng để đảm bảo an toàn cho dữ liệu của bạn.

Xâm nhập vào hệ thống Window bằng cách ẩn malware

Bài viết liên quan:

• Malware là gì? Phần mềm độc hại có tránh được phần mềm bảo vệ không?

• Zero trust là gì? Cách xây dựng mô hình bảo mật zero trust

1. Bằng cách nào có thể ẩn malware trong ứng dụng Windows

Để hiểu về thông tin này, bạn cần biết được khái niệm malware là gì.

Tin tặc đã sử dụng một ống nhỏ giọt phần mềm độc hại tùy chỉnh để đưa vào nhật ký sự kiện của Windows cho dịch vụ quản lý khóa (KMS). Các nhà nghiên cứu an ninh mạng lần đầu tiên phát hiện ra kỹ thuật mới sau khi bị một khách hàng phản hồi với một điểm cuối(Endpoint Security) bị nhiễm.

Các nhà nghiên cứu đang nói rằng toàn bộ chiến dịch là “rất được nhắm mục tiêu” và triển khai một bộ công cụ lớn, một số công cụ được xây dựng tùy chỉnh và một số công cụ trong số đó là thương mại.

Theo Denis Legezo của Kaspersky, đây là lần đầu tiên kỹ thuật này được phát hiện trong tự nhiên. Như anh ấy giải thích, phần mềm độc hại(malware) có tên là dropper sao chép WerFault.exe, tệp xử lý lỗi thực sự của hệ điều hành, vào thư mục C: \ Windows \ Tasks, sau đó thêm tài nguyên nhị phân được mã hóa vào Wer.dll (viết tắt của Windows Error Reporting) vào cùng một vị trí. Bằng cách đó, thông qua việc chiếm quyền điều khiển đơn hàng tìm kiếm DLL, mã độc có thể được tải vào hệ thống.

Mục đích của người tải, Legezo nói là tìm kiếm các dòng cụ thể trong nhật ký sự kiện. Nếu không tìm thấy chúng, nó sẽ ghi các đoạn shellcode được mã hóa, sau này sẽ tạo thành phần mềm độc hại cho giai đoạn tiếp theo của cuộc tấn công.  Nói cách khác, wer.dll đóng vai trò như một trình tải và không có shellcode trong nhật ký sự kiện của Windows, không thể gây hại nhiều. 

Toàn bộ kỹ thuật và cách malware này thực hiện thật sự rất tinh vi, Legezo nói với ấn phẩm. “Bản thân tác nhân đứng sau chiến dịch này có kỹ năng, hoặc ít nhất có một bộ công cụ thương mại khá sâu sắc,” anh nói, ám chỉ về một kẻ tấn công APT.

Cuộc tấn công mới ẩn malware được phát hiện nhờ phản hồi của khách hàng

Ai là kẻ gây ra mối đe dọa, theo các nhà nghiên cứu, chiến dịch bắt đầu vào tháng 9 năm 2021 và do chiến dịch không có điểm tương đồng với bất kỳ cuộc tấn công nào được ghi lại trước đó, nên có các nhà nghiên cứu đang xem xét đến một malware từ kẻ xâm nhập mới.

2. Xóa phần mềm độc hại trên PC Windows

Khi tin tặc đã đưa phần mềm độc hại xâm nhập vào ứng dụng của bạn, thì việc nên làm ngay đó chính là xóa malware ra khỏi PC của bạn. Các bước để xóa:

Bước 1: Vào chế độ an toàn

Trước khi làm bất cứ điều gì, bạn cần ngắt kết nối PC khỏi Internet và không sử dụng nó cho đến khi bạn sẵn sàng làm sạch PC. Điều này có thể giúp ngăn phần mềm độc hại(malware) lây lan hoặc làm rò rỉ dữ liệu cá nhân của bạn.

Nếu bạn cho rằng PC của mình có thể bị nhiễm malware, hãy khởi động PC của bạn vào Chế độ An toàn của Microsoft. Trong chế độ này, chỉ những chương trình và dịch vụ bắt buộc tối thiểu mới được tải. Nếu bất kỳ phần mềm độc hại(malware) nào được đặt tự động tải khi Windows khởi động, việc nhập vào chế độ này có thể ngăn không cho phần mềm đó làm như vậy. Điều này có thể giúp việc xóa các tệp bất chính dễ dàng hơn vì chúng không thực sự chạy hoặc hoạt động. 

Nếu như máy tính của bạn đang ở Windows 7 và Windows 8 thì hãy thực hiện như trên còn nếu máy tính của bạn ở Windows 10 thì làm theo bước sau:

• Nhấp vào nút “Bắt đầu” trong Windows 10 và chọn nút “Nguồn” như thể bạn sẽ khởi động lại, nhưng không nhấp vào bất kỳ thứ gì. 

• Tiếp theo nhấn giữ phím “Shift” và nhấp vào “Khởi động lại”. 

• Khi menu toàn màn hình xuất hiện, hãy chọn “Khắc phục sự cố” => “Tùy chọn nâng cao” => “Cài đặt khởi động”. 

• Trên cửa sổ tiếp theo, nhấp vào “Khởi động lại” và đợi màn hình tiếp theo xuất hiện. 

• Tiếp theo, bạn sẽ thấy một menu với các tùy chọn khởi động được đánh số, “chọn số 4” là Chế độ An toàn. Lưu ý rằng nếu bạn muốn kết nối với bất kỳ máy quét trực tuyến nào, bạn sẽ cần chọn “tùy chọn 5”, đó là Chế độ An toàn với Mạng. 

Một dấu hiệu nhận biết PC của bạn đã bị nhiễm malware là PC của bạn chạy nhanh hơn đáng kể trong Chế độ An toàn. Hoặc có thể là bạn có nhiều chương trình khởi động cùng với Windows, nếu PC của bạn được trang bị ổ cứng thể rắn.

Bước 2: Xóa các tệp tạm thời

Xóa các tệp tạm thời có thể tăng tốc độ quét virus, giải phóng dung lượng đĩa và thậm chí loại bỏ một số phần mềm độc hại(malware).

Xóa các tệp tạm thời cũng là bước để có thể loại bỏ malware

Bước 3: Tải xuống các trình quét phần mềm độc hại(malware)

Nếu bạn đã có chương trình chống virus đang hoạt động trên máy tính của mình, bạn nên sử dụng một máy quét khác để kiểm tra phần mềm độc hại(malware) này, vì phần mềm chống virus hiện tại của bạn có thể không phát hiện ra phần mềm độc hại(malware). Hãy nhớ rằng không có chương trình chống virus nào có thể phát hiện 100% trong số hàng triệu loại và biến thể của phần mềm độc hại(malware).

Vì thế bạn nên có một phần mềm để quét, bạn có thể tham khảo phần mềm malwarebytes. Chúng tôi sẽ có một bài riêng về cách sử dụng phần mềm này một cách cụ thể. Bạn có thể xem tại đây.

Bước 4: Khôi phục lại tệp nếu Windows bị hỏng

Bạn sẽ không thể xóa phần mềm độc hại nếu Windows bị lỗi, bạn sẽ phải cài đặt lại Windows. Nhưng trước khi xóa ổ cứng, hãy sao chép tất cả các tệp của bạn vào USB hoặc ổ đĩa flash ngoài. Nếu bạn kiểm tra email của mình bằng một chương trình khách (chẳng hạn như Outlook hoặc Windows Mail), hãy đảm bảo rằng bạn xuất các cài đặt vào thư của mình để lưu chúng. Bạn cũng nên sao lưu trình điều khiển thiết bị của mình bằng một tiện ích như Double Driver , trong trường hợp bạn không trình điều khiển nữa hoặc không muốn tải lại tất cả. Hãy nhớ rằng, bạn không thể lưu các chương trình đã cài đặt. Thay vào đó, bạn sẽ phải cài đặt lại chương trình từ đĩa hoặc tải lại.

Nếu Windows không khởi động hoặc hoạt động không đủ tốt để cho phép bạn sao lưu các tệp của mình, bạn có thể tạo và sử dụng Live CD, để truy cập các tệp của mình.

Khi bạn đã sao lưu mọi thứ, hãy cài đặt lại Windows từ đĩa đi kèm với PC của bạn, bằng cách tải xuống hình ảnh cài đặt từ Microsoft hoặc bằng cách sử dụng tùy chọn khôi phục cài đặt gốc của PC nếu có. Đối với khôi phục cài đặt gốc, bạn thường phải nhấn một phím nhất định trên bàn phím trong quá trình khởi động để quy trình khôi phục bắt đầu và PC của bạn sẽ cho bạn biết phím nào cần nhấn trong vài giây đầu tiên sau khi bạn bật nó lên. 

Trên đây là cách mà tin tặc có thể ẩn malware vào ứng dụng Windows của bạn và cách xóa phần mềm ra khỏi PC để giữ an toàn cho thông tin của bạn. Mắt Bão chuyên cung cấp những tin tức mới về công nghệ hãy theo dõi ngay nhé.