Phần mềm độc hại FickerStealer là gì và bạn có thể loại bỏ nó như thế nào?

Hầu hết các loại phần mềm độc hại được thiết kế để lấy cắp thông tin đăng nhập của bạn, bao gồm cả thông tin nhạy cảm như chi tiết thẻ tín dụng và danh tính cá nhân, thậm chí chiếm đoạt các tệp của bạn. Phần mềm độc hại thường xâm nhập vào máy tính của một người một cách kín đáo, thường thông qua tệp đính kèm email hoặc phổ biến hơn là thông qua các cuộc tấn công kỹ thuật xã hội.


Một loại phần mềm độc hại đặc biệt đáng lo ngại là FickerStealer, một phần mềm đánh cắp thông tin phổ biến đã xuất hiện từ năm 2020. Vậy nó là gì? Nó làm gì? Và nếu bạn bị ảnh hưởng, bạn có thể làm gì?


FickerStealer là gì?

FickerStealer được phát hiện lần đầu tiên vào tháng 8 năm 2020 trên dark web. Đó là một kẻ đánh cắp thông tin phổ biến, chủ yếu nhắm vào các hệ thống Windows, lần đầu tiên được bán dưới dạng chương trình phần mềm độc hại dưới dạng dịch vụ (MaaS) trên Telegram với giá khoảng 200 đô la. Vào thời điểm đó, FickerStealer đã có sẵn với các khả năng khác nhau, với giá lên tới 900 đô la.

FickerStealer có thể lấy cắp thông tin nhạy cảm được lưu trữ trên máy tính của nạn nhân, bao gồm:

  • Địa chỉ ví tiền điện tử.
  • Mật khẩu từ trình duyệt web.
  • Chi tiết thẻ tín dụng.
  • Mật khẩu SSH hoặc thông tin đăng nhập FTP.
  • Mật khẩu đăng nhập máy tính.
  • Mọi thông tin đăng nhập được lưu trữ bởi Trình quản lý thông tin đăng nhập Windows.

FickerStealer tự quảng cáo bằng cách tuyên bố rằng nó có thể lấy cắp thông tin nhạy cảm từ hơn 40 trình duyệt, bao gồm tất cả những trình duyệt phổ biến như Chrome, Opera, Firefox và Edge.

Sau khi xâm nhập vào trình duyệt, phần mềm độc hại có khả năng đánh cắp dữ liệu và chuyển nó trở lại người gửi phần mềm độc hại. Nếu bạn đang sử dụng ứng dụng FTP hoặc ứng dụng email như Outlook hoặc Thunderbird, FickerStealer cũng có khả năng lấy cắp thông tin từ những ứng dụng đó.

Và nó có khả năng thu thập tất cả thông tin từ máy tính của bạn, bao gồm bộ xử lý, các ứng dụng đã cài đặt, mức sử dụng CPU và cũng có khả năng chụp ảnh màn hình.

FickerStealer được viết bằng Rust và Assembly, các ngôn ngữ lập trình cực kỳ hiệu quả và tải nhanh. Bản thân Rust là một ngôn ngữ khá phức tạp, điều này khiến việc đảo ngược trở nên khó khăn hơn một chút.

Người mua sẽ có quyền truy cập vào một bảng điều khiển dựa trên web, cho phép họ xem lại bất kỳ thông tin nào mà họ đã đánh cắp từ nạn nhân.

Làm thế nào FickerStealer lây nhiễm vào máy tính của bạn?

Giống như hầu hết các phần mềm độc hại khác, FickerStealer được phát tán bằng nhiều kỹ thuật khác nhau.

Chiến dịch thư rác

Những email này thường được ngụy trang cẩn thận để cung cấp thứ gì đó có giá trị và nếu một cá nhân không nghi ngờ tải xuống tệp đính kèm, phần mềm độc hại sẽ ngay lập tức được đưa vào hệ thống tệp. Đó là một trong những cách phổ biến nhất mà phần mềm độc hại lây lan.

Những email này thường được ngụy trang để trông có vẻ quan trọng và thậm chí có vẻ chính thức về bản chất. Chúng chứa các tệp đính kèm được ngụy trang thành các tệp dường như vô hại, bao gồm các tệp đính kèm .zip hoặc .rar. Nhưng ngay sau khi một người tải chúng xuống, nó sẽ thực thi một tập lệnh lây nhiễm vào thiết bị của họ.

Tải xuống không chính thức phần mềm bị nứt

Phần mềm độc hại có hại như FickerStealer thường được phát tán bằng cách sử dụng tải xuống phần mềm “đã bẻ khóa” hoặc có rủi ro. Nhiều người tải xuống các chương trình phần mềm đã bẻ khóa từ các nguồn không chính thức như máy chủ lưu trữ mirror hoặc torrent.

Trong hầu hết các trường hợp, các chương trình này bị nhiễm phần mềm độc hại như FickerStealer. Để khuyến khích nhiều lượt tải xuống hơn, những kẻ độc hại thường tuyên bố cung cấp các phiên bản bẻ khóa của phần mềm phổ biến như Microsoft Office hoặc các trò chơi điện tử mới. Điều quan trọng là luôn phải kiểm tra cẩn thận những điều quan trọng trước khi bạn tải tệp trực tuyến, chẳng hạn như tính xác thực của trang web.

Công cụ kích hoạt phần mềm

FickerStealer cũng có thể lây lan dễ dàng thông qua các công cụ kích hoạt phần mềm không chính thức. Được sử dụng để vi phạm bản quyền, chúng được thiết kế để loại bỏ các hạn chế DRM và cho phép mọi người sử dụng phần mềm bị hạn chế mà không có khóa cấp phép.

Một ví dụ phổ biến là Keygen hoặc trình tạo khóa. Chúng thường chứa các tệp độc hại và có thể lây nhiễm vào máy tính của bạn ngay sau khi bạn thực thi chương trình.

FickerStealer được phân phối rất nhiều theo cách này. Vì nó được bán dưới dạng MaaS, các tác nhân độc hại có khả năng tùy chỉnh các khả năng của chương trình dựa trên cách họ muốn phân phối nó.

Không giống như phần mềm độc hại thông thường, phần mềm độc hại này được bán như một dịch vụ. Vì vậy, khi người mua đạt được thỏa thuận, họ sẽ nhận được gói phần mềm độc hại tùy chỉnh, bao gồm thiết lập máy chủ và tệp thực thi.

Nhà phân phối phần mềm độc hại cũng yêu cầu địa chỉ của máy chủ C&C (lệnh và điều khiển) để họ có thể tùy chỉnh mã của phần mềm độc hại để giao tiếp với máy chủ của người mua.

Vì FickerStealer không có bất kỳ sự phụ thuộc nào nên nó có thể chạy mà không cần tải xuống bất kỳ thư viện bổ sung nào, làm cho nó cực kỳ nhanh. Và, không giống như các phần mềm độc hại khác, nó không dựa vào giao thức HTTP để giao tiếp với máy chủ C&C.

Giao tiếp được mã hóa hoàn toàn ở phía máy khách bằng cách sử dụng xoay XOR, do đó, dữ liệu thường khó giải mã. Quan trọng hơn, FickerStealer không bao giờ lưu giữ bất kỳ nhật ký nào.

Ngay sau khi phần mềm độc hại đánh cắp dữ liệu, nó sẽ chuyển nó đến máy chủ C&C, khiến việc phát hiện trở nên khó khăn hơn nhiều. Phần mềm độc hại thông thường thường ghi dữ liệu và lưu trữ trong một thư mục tạm thời trước khi gửi đến máy chủ C&C.

Làm thế nào để loại bỏ FickerStealer

FickerStealer chủ yếu nhắm mục tiêu đến hệ thống Windows, vì vậy các đề xuất sau đây chủ yếu dành cho người dùng đang chạy hệ thống đó.

Sử dụng ứng dụng chống vi-rút mạnh mẽ

Bảo vệ chống vi-rút là cần thiết để phát hiện, cách ly và xóa phần mềm độc hại khỏi máy tính của bạn. Có một số ứng dụng chống vi-rút phổ biến dành cho Windows 11 và bạn nên sử dụng một ứng dụng có uy tín, như Kaspersky, để bảo vệ máy tính của mình.

Trong trường hợp máy tính của bạn bị nhiễm FickerStealer, phần mềm chống vi-rút của bạn sẽ phát hiện ra nó và xóa các tệp bị nhiễm. Đây có lẽ là bước quan trọng nhất, bởi vì trong trường hợp có phần mềm độc hại, phòng ngừa là cách tốt nhất.

Các ứng dụng chống vi-rút định kỳ quét máy tính của bạn để phát hiện bất kỳ phần mềm độc hại hoặc chương trình có hại nào như sâu máy tính, sau đó cách ly các tệp bị nhiễm.

Định dạng hệ thống tệp của bạn

Đây thường không phải là một phương pháp được khuyến nghị, nhưng nếu bạn không có bất kỳ tệp nhạy cảm nào trên máy tính của mình và cần phải loại bỏ FickerStealer, bạn có thể muốn xem xét việc định dạng ổ cứng hoàn toàn. Tuy nhiên, đây thực sự nên là biện pháp cuối cùng mà bạn xem xét.

Định dạng ổ đĩa sẽ xóa tất cả các tệp trên ổ đĩa, bao gồm cả hệ điều hành của bạn (nếu nó nằm trên cùng một ổ đĩa), vì vậy bạn có thể phải khởi động lại và cài đặt lại hệ điều hành.

Giữ an toàn khi duyệt web

Phần mềm độc hại thường lây lan qua các tệp đáng ngờ và tệp đính kèm email. Điều quan trọng là bạn tránh tải xuống bất kỳ tệp không đáng tin cậy nào trên máy tính của mình, đặc biệt là từ các nguồn không chính thức.

Ngoài ra, nếu bạn nhận được email từ một nguồn không chính thức, hãy hết sức thận trọng khi mở nó. Hầu hết các nhà cung cấp dịch vụ email hiện nay đều tích hợp sẵn công cụ quét phần mềm độc hại, vì vậy bạn sẽ nhận được thông báo trong trường hợp tệp bị nhiễm.

Và, nếu bạn cắm một ổ nội bộ mới, ở trạng thái rắn hoặc ổ cứng, hãy đảm bảo rằng bạn đã định dạng nó trước khi bắt đầu sử dụng.

Previous Post
Next Post

post written by: