Sản phẩm Antivirus hoàn toàn không phát hiện được phần mềm gián điệp RCS

Một biến thể của phần mềm gián điệp hệ thống điều khiển từ xa (RCS) được phát hiện một tháng trước đây hoàn toàn tránh được tầm ảnh hưởng của một số sản phẩm chống virus, một nhà nghiên cứu bảo mật thông báo.

RCS là một sản phẩm đa năng được phát triển bởi công ty Hacking Team đến từ Ý. Sản phẩm này có thể làm việc trên các nền tảng máy tính khác nhau, máy tính để bàn hoặc di động và nó được phát triển dành riêng cho các cơ quan chính phủ nhằm mục đích giám sát.

Chạy quá trình độc hại không bị phát hiện

Thí nghiệm phát hiện mẫu được thực hiện bởi Claudio Guarnieri, nhà phát triển hàng đầu của Detekt. Một trình quét miễn phí đặc biệt được tạo ra để giúp các nhà báo, nhà hoạt động và bảo vệ nhân quyền phát hiện dấu vết của phần mềm gián điệp do các tổ chức chính phủ khác nhau sử dụng trên hệ thống máy tính của họ.

Hôm thứ tư (26/11), ông đã thử nghiệm các giải pháp chống virus như Kaspersky, Avira (miễn phí), G Data và ESET và thấy rằng không giải pháp nào trong số này có thể phát hiện dấu vết của sự xâm nhập hệ thống có RCS hoạt động.

Nhà nghiên cứu cũng cho thấy kết quả phân tích VirusTotal từ 26 tháng 9 cho các mẫu tương tự, trong đó tiết lộ vào thời điểm đó không phần mềm AV nào trong số các công cụ chống virus có thể xác định tính chất độc hại của các tập tin được tải lên.

Phần lớn các biến thể mới không bị phát hiện

VirusTotal có chức năng hạn chế các giải pháp chống virus, do đó không phải tất cả các tính năng phát hiện được sử dụng. Nhiều sản phẩm dựa trên phân tích hành vi để phát hiện phần mềm độc hại không được phân loại trước đó.

Bogdan Botezatu, nhà phân tích cao cấp của Bitdefender, nói rằng phần mềm chống virus của họ đã tìm thấy mẫu RCS vài lần trước đây, thông qua việc phát hiện hành vi. Các giải pháp khác cũng có khả năng phát hiện các mối đe dọa với cách tương tự.

Cuối tuần trước, Guarnieri đăng lên một tweet các kết quả của một phân tích VirusTotal cho mẫu phần mềm độc hại RCS mới hơn và các kết quả cũng không khả quan: chỉ có hai giải pháp diệt virus phát hiện ra tập tin là mối đe dọa.

Mẫu RCS được các nhà nghiên cứu kiểm tra hôm chủ nhật (23/11) là đặc biệt khó phát hiện, vì nó được ngụy trang như một trình quản lý bookmark phổ biến gọi là Linkman và nó cũng được hỗ trợ bằng một chữ ký kỹ thuật số hợp lệ.

Trong một tweet cuối tuần trước, Outertech, nhà sản xuất của Linkman, cảnh báo khách hàng của mình kiểm tra xem tên của nhà xuất bản có phù hợp với trình quản lý bookmark được cài đặt không. Phiên bản độc hại này dựa trên một chứng chỉ được cấp cho một thực thể gọi là Jagdeependra.

Softpedia