Khi bỏ ra tới 6.000 USD để đầu tư một thiết bị in ấn chuyên dụng, người dùng có quyền kỳ vọng vào một trải nghiệm an toàn, không vướng mã độc hay phần mềm gián điệp. Thế nhưng, trong trường hợp của dòng máy in UV đến từ hãng Procolored (Trung Quốc), điều đó đã không xảy ra.
Khi phần mềm đi kèm trở thành điểm yếu chí tử
Procolored, một công ty có trụ sở tại Thâm Quyến, chuyên cung cấp máy in UV với khả năng in trên nhiều bề mặt như gỗ, mica, gạch men và nhựa. Những tính năng mà họ quảng bá có vẻ hấp dẫn, nhưng theo như đánh giá từ chuyên gia công nghệ Cameron Coward, sản phẩm còn đi kèm với “phần quà” không mong muốn: phần mềm chứa mã độc.
Coward cho biết mẫu máy in Procolored V11 Pro DTO UC mà anh nhận để đánh giá có đính kèm USB chứa phần mềm cài đặt. Trong đó có gói Microsoft Visual C++ Redistributable được nén trong một thư mục ZIP. Nhưng ngay khi anh giải nén, Windows Defender lập tức cách ly tập tin và cảnh báo về sự xuất hiện của mã độc Floxif.
Floxif là họ phần mềm độc hại chuyên cài backdoor – cho phép tin tặc kiểm soát máy tính, tải thêm mã độc khác, hoặc đánh cắp dữ liệu.
Không dừng lại ở đó, khi cố gắng tải phần mềm điều khiển máy in từ trang web chính thức của Procolored (được lưu trữ trên dịch vụ chia sẻ file mega.nz), trình duyệt Chrome tiếp tục ngăn chặn vì phát hiện virus.
Dù đã liên hệ với Procolored, Coward chỉ nhận được phản hồi rằng đây là “cảnh báo sai” từ phần mềm diệt virus.
Phân tích độc lập: Sự thật không thể chối bỏ
Không hài lòng với phản hồi trên, Coward đã tìm đến cộng đồng Reddit để nhờ hỗ trợ. Karsten Hahn, chuyên gia phân tích mã độc tại hãng bảo mật G Data CyberDefense, đã nhận lời kiểm tra.
Sau khi phân tích hơn 8 GB phần mềm từ các thiết bị của Procolored (toàn bộ lưu trữ trên mega.nz), Hahn không phát hiện Floxif. Tuy nhiên, ông phát hiện hai biến thể mã độc nghiêm trọng khác
- Win32.Backdoor.XRedRAT.A: Một backdoor có khả năng điều khiển hoàn toàn máy tính nạn nhân, bao gồm chạy lệnh, ghi lại thao tác bàn phím, và thao túng file hệ thống.
- MSIL.Trojan-Stealer.CoinStealer.H: Một trojan chuyên đánh cắp tiền mã hóa bằng cách thay thế địa chỉ ví trong clipboard – hình thức tấn công tinh vi mà hiệu quả. Ví của kẻ tấn công đã nhận khoảng 100.000 USD từ hành vi này.
Hai mẫu mã độc trên đã bị phát hiện bởi công nghệ học máy của Malwarebytes, dưới định danh Generic.Malware.AI.DDS, cho thấy người dùng Malwarebytes và ThreatDown đã được bảo vệ.
Khi đối chất với bằng chứng cụ thể, Procolored cuối cùng cũng thừa nhận khả năng mã độc đã xâm nhập trong quá trình sao chép phần mềm qua USB, và tạm thời gỡ bỏ toàn bộ phần mềm trên trang web để rà soát lại.
Không phải trường hợp cá biệt
Vấn đề không chỉ nằm ở Procolored. Trong quá khứ, nhiều hãng lớn cũng từng vướng vào bê bối tương tự
- 2005: Sony âm thầm cài phần mềm rootkit lên đĩa CD để ngăn sao chép – nhưng gây lỗi nghiêm trọng cho hệ điều hành Windows khi bị gỡ bỏ.
- 2017: IBM vô tình phát tán phần mềm độc hại qua USB cài đặt đi kèm thiết bị lưu trữ.
- 2018: Schneider Electric cảnh báo một số USB chứa phần mềm theo dõi pin bị nhiễm mã độc.
- 2019: Một chương trình của chính phủ Mỹ cung cấp điện thoại Android giá rẻ cho người thu nhập thấp bị phát hiện cài sẵn mã độc.
Bài học cho người dùng và doanh nghiệp
Chúng ta không thể mặc định rằng thương hiệu lớn đồng nghĩa với an toàn tuyệt đối. Dù là phần mềm từ nhà sản xuất, việc cài đặt cũng cần được thực hiện với sự thận trọng và giám sát bởi phần mềm bảo mật tin cậy.
Kể cả khi thiết bị đến từ nguồn chính thống, hãy luôn kiểm tra qua các công cụ chống mã độc trước khi sử dụng. Mã độc không phân biệt người dùng cá nhân hay doanh nghiệp – chỉ cần một mắt xích yếu, toàn bộ hệ thống có thể sụp đổ.
