Một hoạt động thực thi pháp luật quốc tế đã chung tay gỡ bỏ AVCheck, một dịch vụ được tội phạm mạng sử dụng để kiểm tra xem phần mềm độc hại của chúng có bị phần mềm diệt vi-rút thương mại phát hiện hay không trước khi triển khai trong thực tế.
Tên miền chính thức của dịch vụ tại avcheck.net hiện hiển thị biểu ngữ tịch thu có biểu tượng của Bộ Tư pháp Hoa Kỳ, Cục điều tra liêng bang Mỹ (FBI), Cơ quan Mật vụ Hoa Kỳ và cảnh sát Hà Lan (Politie).
 |
Theo thông báo trên trang web Politie, AVCheck là một trong những dịch vụ chống vi-rút (CAV) lớn nhất thế giới, giúp tội phạm mạng đánh giá mức độ lén lút và khả năng trốn tránh của phần mềm độc hại.
"Việc đưa dịch vụ AVCheck ngoại tuyến đánh dấu một bước quan trọng trong việc giải quyết tội phạm mạng có tổ chức", Matthijs Jaspers của Politie tuyên bố. "Với hành động này, chúng tôi phá vỡ hoạt động của tội phạm mạng càng sớm càng tốt và ngăn chặn có thêm người dùng trở thành nạn nhân".
Các nhà điều tra cũng tìm thấy bằng chứng liên kết các quản trị viên của AVCheck với các dịch vụ mã hóa Cryptor.biz và Crypt.guru. Được biết, Cryptor.biz đã bị chính quyền tịch thu, trong khi Crypt.guru hiện đang ngoại tuyến.
Các dịch vụ mã hóa giúp tin tặc vận hành phần mềm độc hại hoặc làm rối các phần tải trọng của chúng để phần mềm diệt vi-rút không phát hiện, do đó chúng là một phần của cùng một hệ sinh thái.
Tội phạm mạng sử dụng dịch vụ mã hóa để làm tối nghĩa phần mềm độc hại của chúng, thử nghiệm trên AVCheck hoặc các dịch vụ CAV tương tự để xem liệu chúng có che giấu được hay không, và sau đó tin tặc mới triển khai nó vào mục tiêu của mình.
Trước khi "hạ gục” AVCheck, cảnh sát đã dựng một trang đăng nhập giả mạo, cảnh báo những người dùng cố gắng đăng nhập vào các dịch vụ rủi ro.
Một thông báo của Bộ Tư pháp Hoa Kỳ lặp lại các tuyên bố về tầm quan trọng của việc tháo dỡ AVCheck và các dịch vụ mã hóa diễn ra vào ngày 27 tháng 5 năm 2025. Trong đó, Đặc vụ của Cục điều tra liên bang Mỹ (FBI) Douglas Williams nhấn mạnh, tội phạm mạng không chỉ tạo ra phần mềm độc hại; chúng hoàn thiện nó để phá hủy tối đa.
Bằng cách tận dụng các dịch vụ chống vi-rút, những kẻ tấn công độc hại tinh chỉnh vũ khí của chúng chống lại các hệ thống bảo mật mạnh nhất thế giới để vượt qua tường lửa, trốn tránh phân tích pháp y và tàn phá hệ thống của nạn nhân.
Việc phát hiện ra bản chất bất hợp pháp của AVCheck và tìm ra các liên kết đến các cuộc tấn công bằng phần mềm tống tiền nhắm vào các thực thể của Hoa Kỳ đã trở nên khả thi nhờ vào công việc của các đặc vụ bí mật mua hàng hoặc đóng giả làm khách hàng trên các dịch vụ này.
Theo bản tuyên thệ được đệ trình để hỗ trợ cho các vụ tịch thu này, các nhà chức trách đã thực hiện các giao dịch mua bí mật từ các trang web bị tịch thu và phân tích các dịch vụ, xác nhận rằng chúng được thiết kế cho tội phạm mạng, theo thông báo của Bộ Tư pháp.
Các tài liệu của tòa án cũng cáo buộc các nhà chức trách đã xem xét các địa chỉ email được liên kết và dữ liệu khác kết nối các dịch vụ với các nhóm ransomware nhắm mục tiêu vào các nạn nhân ở cả Hoa Kỳ và nước ngoài.
Hành động này là một phần của Chiến dịch Endgame, một hành động thực thi pháp luật quốc tế quy mô lớn gần đây đã tịch thu 300 máy chủ và 650 tên miền được sử dụng để tạo điều kiện cho các cuộc tấn công ransomware.
Các chiến dịch tấn công tương tự trước đây đã phá vỡ các hoạt động phần mềm độc hại Danabot và Smokeloader phổ biến rộng rãi trong số tội phạm mạng.
Bình luận