Phát hiện keylogger cài sẵn trên driver của laptop HP

HP đã phát hành bản cập nhật cho nhiều máy HP Notebook để loại bỏ lỗi cho phép kẻ tấn công lợi dụng keylogger hack máy tính. Mã keylogger có trong tập tin SynTP.sys là một phần của driver Synaptics Touchpad, có trên nhiều mẫu notebook HP.

Xem thêm: Tìm hiểu về keylogger là gì?

Michael Mying, nhà nghiên cứu đã phát hiện ra lỗi này đầu năm nay cho biết: “Mặc định được tắt nhưng bằng cách đặt giá trị cho registry có thể bật nó lên”. Giá trị này là:

HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default

Kẻ tấn công có thể dùng giá trị này để theo dõi hoạt động trên máy người dùng mà không bị các phần mềm bảo mật phát hiện. Rất đơn giản chỉ cần vượt qua thông báo UAC khi chỉnh sửa giá trị registry, hiện tại có rất nhiều cách vượt qua UAC.

Không phải lần đầu người dùng HP giật mình vì keylogger

Nguyên nhân là do code debug còn sót lại

Myng cho hay keylogger dùng để quét code, theo dõi WPP, vốn để sửa lỗi code trong quá trình phát triển phần mềm. HP thừa nhận đã bỏ sót lại code keylogger trong quá trình debug và đã phát hành bản cập nhật để loại bỏ.

Đây không phải lần đầu HP “bỏ quên” code dubug trên driver của mình. Chuyện tương tự cũng đã xảy ra vào hồi tháng Năm.

HP đưa ra danh sách các máy bị ảnh hưởng, gồm cả link để cập nhật firmware https://support.hp.com/us-en/document/c05827409, trong đó có tất cả 475 mẫu máy, gồm 303 máy cá nhân và 172 máy doanh nghiệp (commercial, mobile thin và workstation). Danh sách có HP Stream, ZBook, EliteBook, ProBook, một số dòng Compaq…

Xem thêm: Hướng dẫn kiểm tra và xóa keylogger trên máy HP