Ngày 06/3/2018, Windows Defender của Microsoft đã chặn được một đợt bùng nổ mã độc đào tiền ảo lớn với tốc độ lây lan rất nhanh. Nếu thành công, mã độc đã có thể lây nhiễm tới gần 500.000 máy tính sử dụng hệ điều hành Windows trong vòng vài giờ đồng hồ.
Mã độc này là một dạng trojan có tên gọi Dofoil hoặc Smoke Loader, được thiết kế để chuyển tới một loạt các payload. Trong trường hợp này, nó cài vào máy tính bị lây nhiễm một phần mềm mã độc đào tiền ảo, từ đó “kiếm” đồng tiền ảo Electroneum nhờ CPU của nạn nhân.
Windows Defender của Microsoft đã phát hiện 80.000 trường hợp biến thể của Dofoil có chứa các payload độc hại vào trưa ngày 06/3 (giờ quốc tế PST – UTC -8). Trong 12 giờ tiếp theo, Windows Defender đã phát hiện hơn 400.000 trường hợp của mã độc này, chủ yếu tại Nga, ngoài ra còn tại Thổ Nhĩ Kỳ và Ukraine.
Microsoft cho biết, mã độc Dofoil thực hiện một kỹ thuật tấn công gọi là “làm rỗng tiến trình” (process hollowing) trên explorer.exe hợp lệ. Kỹ thuật này tạo ra một trường hợp mới của nhị phân hợp pháp, nhưng lại thay đổi mã hợp lệ thành mã độc hại.
Theo Mark Simos, kiến trúc sư an toàn mạng tại Microsoft, tiến trình explorer.exe rỗng được thay thế bởi trường hợp có chứa mã độc. Trường hợp này sẽ chạy phần mềm độc hại để đào tiền mã hóa, giả mạo nhị phân Windows hợp pháp là wuauclt.exe.
Còn các nhà nghiên cứu của Kaspersky cho biết, tin tặc đã sử dụng kỹ thuật làm rỗng tiến trình để cài phần mềm độc hại đào tiền ảo, mang tới cho chúng hàng triệu USD trong nửa cuối năm 2017. Kỹ thuật làm rỗng tiến trình rất hữu ích cho tin tặc, vì các phần mềm chống virus thường nhầm nó với chương trình hợp lệ. Kaspersky cho rằng, các nạn nhân thường bị lây nhiễm sau khi tải phần mềm nhìn “có vẻ hợp pháp”.
Để duy trì vị trí trên máy tính bị nhiễm, mã độc Dofoil đã chỉnh lại khóa registry của Windows sau khi làm rỗng tiến trình explorer.exe.
Mark Simos cho biết, tiến trình explorer.exe rỗng tạo ra một bản sao của phần mềm độc hại ban đầu trong thư mục Roaming AppData và đổi tên nó thành ditereah.exe. Sau đó, nó tạo ra một khóa registry mới hoặc sửa đổi khóa hiện có để chỉ đến bản sao phần mềm độc hại vừa được tạo ra. Trong mẫu mã độc mà các nhà nghiên cứu đã phân tích, phần mềm độc hại đã sửa đổi khóa của OneDrive Run.
Mã độc đào tiền ảo có thể đem đến cho tin tặc nhiều tiền hơn mã độc tống tiền mã hóa tập tin. Theo Renato Marinho, Giám đốc Nghiên cứu tại công ty an ninh máy tính Morphus (Brazil), ưu điểm chính của mã độc đào tiền ảo là chắc chắn sẽ mang lại lợi ích kinh tế cho tin tặc khi lây nhiễm.
Vào tháng 01/2018, Renato Marinho đã phát hiện ra tin tặc khai thác các máy chủ Oracle WebLogic. Trong khi có thể cài mã độc tống tiền hoặc đánh cắp dữ liệu, tin tặc sử dụng các máy chủ bị xâm hại để đào tiền ảo Monero, mang tới hơn 200.000 USD trong vài tháng. Theo ông, tin tặc đang chuyển xu hướng từ sử dụng mã độc tống tiền sang mã độc đào tiền ảo, vì mã độc tống tiền không đảm bảo việc tin tặc sẽ nhận được tiền chuộc. Trong khi đó, đào tiền ảo chắc chắn mang tới cho chúng lợi nhuận mà không bị chú ý nhiều.
Cuộc tấn công WebLogic có quy mô tương đối nhỏ so với một chiến dịch khác mà Renato Marinho đã phát hiện ra vào tháng 01/2018, tin tặc đã sử dụng một mạng lưới các máy tính bị xâm hại để tạo ra 4.273 đồng Monero, trị giá khoảng 1,7 triệu USD vào lúc đó và hiện tại là 1,3 triệu USD.
Mark Simos cho biết, các mô hình học máy trên điện toán đám mây cho phân tích siêu dữ liệu của Windows đã phát hiện ra các trường hợp lây nhiễm đầu tiên “chỉ trong mili giây”. Mặc dù mã độc Dofoil sử dụng các nhị phân Windows hợp lệ, nhưng lại chạy từ một vị trí sai. Dòng lệnh này là bất thường so với nhị phân hợp pháp. Ngoài ra, các lượt truy cập mạng từ nhị phân này là đáng ngờ.
Thảo Uyên
Theo ZDNet
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024