Điều tra tiếp theo về vụ hack CPU-Z: Dữ liệu của Kaspersky cho thấy nhiều người dùng có thể đã bị nhiễm Trojan từ xa

Tuần trước, trang web CPUID của nhà phát triển phần cứng nổi tiếng đã bị tin tặc tấn công. Tin tặc đã thay thế liên kết tải xuống của nhiều phần mềm giám sát phần cứng như CPU-Z và HWMonitor. Khi người dùng chạy các phiên bản độc hại do tin tặc đánh rơi, họ sẽ bị nhiễm Trojan truy cập từ xa. Công bằng mà nói, mặc dù phần mềm như CPU-Z rất nổi tiếng nhưng nhóm CPUID không phải là một công ty lớn và do đó không có khả năng tiến hành các cuộc điều tra bảo mật chi tiết. Do đó, thông tin chi tiết vẫn phụ thuộc vào báo cáo của các công ty bảo mật khác, chẳng hạn như Kaspersky.

Có khá nhiều người dùng bị nhiễm:

CPU-Z và Người dùng phần mềm giám sát hoặc phát hiện phần cứng như HWMonitor thường là người dùng chuyên nghiệp. Số lượng người dùng chủ động cài đặt những phần mềm như vậy có lẽ không lớn lắm nhưng dù vậy, Kaspersky đã phát hiện ít nhất 150 cuộc tấn công.

Có tính đến tỷ lệ sử dụng toàn cầu hiện nay của phần mềm bảo mật dòng Kaspersky, chúng tôi thận trọng đoán rằng số người dùng bị nhiễm thực tế phải lên tới hàng chục nghìn và hầu hết các sự cố lây nhiễm xảy ra ở Brazil, Nga và Trung Quốc.

Cuộc tấn công xảy ra từ ngày 9 tháng 4 năm 2026 15:00 UTC đến ngày 10 tháng 4 10:00 UTC (Thời gian trong nước: Ngày 9 tháng 4 năm 2026 23:00 đến ngày 10 tháng 4 năm 2026 18:00, tổng cộng 19 giờ, không phải 6 giờ như ước tính trước đó của CPUID).

Nếu bạn đã tải xuống phần mềm như CPU-Z thông qua trang web CPUID trong khoảng thời gian trên, bạn nên sao lưu dữ liệu ngay lập tức và cài đặt lại hệ thống. Tốt nhất là xoay tất cả các phím khác nhau và sử dụng Kaspersky và phần mềm khác để thực hiện quét toàn bộ tệp sao lưu.

Số lượng lây nhiễm giảm do hacker lười biếng:

Điều đáng chú ý là việc truy xuất nguồn gốc của cuộc tấn công này rất đơn giản, vì hacker đã sử dụng lại tên miền đã phát hành phiên bản FileZilla độc hại trước đó nên rất dễ quy cho nó nhóm hacker liên quan đến STX RAT.

STX RAT là một Trojan truy cập từ xa với HVNC (Điều khiển mạng ảo nâng cao) và các chức năng đánh cắp thông tin mạnh mẽ. Nó có các chức năng như điều khiển từ xa, thực thi tải trọng tiếp theo và các hoạt động sau khai thác, chẳng hạn như thực thi EXE/DLL/PowerShell/shellcode trong bộ nhớ. Nó cũng có thể thiết lập proxy ngược và thực hiện tương tác trên máy tính để bàn.

Vấn đề là hacker lười biếng không đăng ký tên miền mới. Trong vụ đầu độc FileZilla (bản thân phần mềm không bị hack mà hacker tung phiên bản bị nhiễm độc qua Internet), tên miền C2 liên quan đã được công ty bảo mật ghi lại.

Do đó, phần mềm bảo mật như Kaspersky có thể trực tiếp xác định các tên miền độc hại và chặn chúng. Về lý thuyết, người dùng cài đặt phần mềm chống vi-rút như Kaspersky sẽ bị chặn khi có phiên bản độc hại, trong khi người dùng không cài đặt phần mềm bảo mật có thể bị nhiễm.

Kaspersky cho biết: Khả năng phát triển, triển khai và vận hành phần mềm độc hại tổng thể của tin tặc đằng sau cuộc tấn công này là khá thấp, điều này cho phép chúng tôi phát hiện và ngăn chặn cuộc tấn công ở giai đoạn đầu.

Tìm hiểu thêm:

https://securelist.com/tr/cpu-z/119365/