Theo báo cáo mới từ Avast, một nhóm tin tặc, có thể liên quan đến Triều Tiên, đã thực hiện một vụ tấn công tinh vi nhằm cài đặt phần mềm độc hại nguy hiểm vào máy tính của người dùng thông qua bản cập nhật phần mềm diệt virus eScan.

Bằng cách kiểm soát đường truyền dữ liệu (AitM) trên thiết bị mục tiêu, tin tặc đã đánh cắp bản cập nhật cho kho dữ liệu virus của eScan và biến nó thành công cụ phát tán phần mềm độc hại backdoor (cửa hậu) có tên GuptiMiner. Khi người dùng cài đặt bản cập nhật bị nhiễm, GuptiMiner sẽ được kích hoạt và âm thầm hoạt động trên máy tính.

GuptiMiner không phải là phần mềm đào tiền ảo thông thường mà là một loại backdoor nguy hiểm. Nó có khả năng phân tích môi trường để xem có đang chạy trong môi trường ảo (sandbox) hay không, vô hiệu hóa các công cụ chống virus và bảo vệ thiết bị đầu cuối khác, đồng thời cài đặt thêm nhiều loại phần mềm độc hại.

Ngoài GuptiMiner, tin tặc còn cài đặt thêm một số phần mềm độc hại khác vào máy tính của nạn nhân, gồm phiên bản cải tiến của backdoor Putty Link và một loại phần mềm độc hại khá phức tạp chưa được đặt tên. Phần mềm độc hại này có khả năng đánh cắp khóa cá nhân, thông tin ví tiền điện tử và nhiều dữ liệu nhạy cảm khác.

Vụ tấn công này cho thấy mặc dù cài đặt chương trình diệt virus sẽ nâng cao sự an toàn cho thiết bị đầu cuối, nhưng vẫn tồn tại những rủi ro tiềm ẩn. Người dùng cần lưu ý lựa chọn phần mềm uy tín từ nhà cung cấp đáng tin cậy và cập nhật thường xuyên để đảm bảo an ninh cho thiết bị của mình.