Cẩn thận phần mềm độc hại giả dạng cảnh báo trong Windows

Một phần mềm lừa đảo mới xuất hiện trên internet, được lập trình để bật lên mỗi khi Windows gặp một ứng dụng bị treo, gợi ý nạn nhân gọi đến số điện thoại hiển thị trên màn hình để được hỗ trợ.

Cảnh báo hiện ra khi nhấn xem chi tiết một ứng dụng bị treo. ẢNH: BLEEPINGCOMPUTER

Cảnh báo hiện ra khi nhấn xem chi tiết một ứng dụng bị treo. ẢNH: BLEEPINGCOMPUTER

Theo Neowin, Event Monitor là một dạng trojan được phát triển bởi Super Tuneup Technologies LLP, một công ty đang hoạt động ở Ấn Độ. Khi cài đặt phần mềm này sẽ thiết lập một tác vụ trên Windows có tên gọi em.exe và được lập trình để chạy khi hệ thống khởi động. Ngoài ra nó cũng có thể tự động cập nhật thông qua một tập tin cấu hình.


Cẩn thận phần mềm độc hại giả dạng cảnh báo trong Windows ảnh 1

Màn hình cảnh báo hiện ra kèm theo số điện thoại để nạn nhân liên lạc. ẢNH: BLEEPINGCOMPUTER

Ghi chú bởi BleepingComputer cho biết, dữ liệu trong trojan Event Monitor có thể được thay thế thường xuyên hơn vì những kẻ gian đứng đằng sau công nghệ hỗ trợ lừa đảo đôi khi cần phải cập nhật số điện thoại mà chúng đang sử dụng. Chúng có thể sửa đổi các con số hoặc bổ sung nhiều hơn các con số… trong thông điệp hiển thị. Theo ghi nhận, hiện nay các số điện thoại hiển thị có nguồn gốc xuất xứ từ Mỹ, Đức, Pháp và Nhật Bản.

Nhà nghiên cứu Lawrence Abrams đến từ BleepingComputer đã chứng tỏ rằng Event Monitor được nằm lặng lẽ trong nền hệ thống và không có bất kỳ yếu tố giao diện nào. Mọi người có thể nhìn thấy ứng dụng hoạt động trong phần thẻ Processes trong cửa sổ Task Manager.

Để kiểm tra khả năng lừa đảo của Event Monitor, Abrams đã cùng với một nhà nghiên cứu bảo mật khác là Michael Gillespie phát triển một chương trình gọi “crashdemo.exe” với mục tiêu làm treo ứng dụng ngay khi nó khởi chạy. Trong quá trình thử nghiệm ứng dụng bị treo, Windows sẽ hiển thị dấu nhắc với nghi vấn “máy có nguy cơ” kèm số điện thoại với nội dung yêu cầu người dùng liên lạc để được trợ giúp, nhưng trong thực tế sự trợ giúp là không tồn tại.

Rõ ràng Event Monitor là một cách thức tấn công đơn giản hơn so với việc cài đặt một ứng dụng. Điều đó cho thấy kẻ gian liên tục không ngừng phát triển các kỹ thuật lừa đảo người dùng khác nhau, vì vậy mọi người cần chủ động hơn trong việc bảo vệ mình.

Theo Thanh niên