Phát hiện mã độc đào tiền ảo dùng chiêu “dương đông kích tây” cực tinh vi

VietTimes -- Khi nghiên cứu sâu về loại mã độc đào tiền ảo mới, các chuyên gia bảo mật nhận ra nhiều tệp độc hại khác tiếp tục được tải xuống mà không cần ẩn danh định dạng như thường lệ, khiến họ nghi ngờ đoạn mã độc được mã hóa có thể là một chiêu “dương đông kích tây” mà các hacker đang cố tình tạo ra cho mục đích phát tán mã độc.
Ảnh minh họa
Ảnh minh họa

Các hacker luôn có nhiều cách khác nhau để lén lút cài mã độc khai thác tiền điện tử trên máy tính của người dùng mà họ không hề hay biết. Thủ thuật này được gọi chung là Cryptojacking: Chúng sẽ dùng chính tài nguyên, cấu hình từ máy tính của người sử dụng và đào tiền ảo mà không cần bất kỳ sự cho phép hay đồng ý từ chủ sở hữu.

Các chuyên gia bảo mật từ Trend Micro cho biết, những kẻ tấn công đã khai thác lỗ hổng bảo mật từ máy chủ Oracle WebLogic và cài đặt phần mềm độc hại khai thác đồng tiền ảo Monero (gọi tắt là XMR), đồng thời ẩn thân như một dạng mã hóa gây khó khăn cho các chuyên gia an tinh mạng khi tìm hiểu định dạng.

Trong quá khứ, mã độc lén đào tiền ảo lớn nhất được phát hiện là vào tháng 12/2017. Các hacker âm thầm xâm nhập vào mạng Wi-Fi cửa hàng Starbucks ở Buenos Aires và phát tán thông qua những người truy cập. Thậm chí, công cụ khai thác này còn được tìm thấy đang chạy quảng cáo trên YouTube thông qua nền tảng DoubleClick của Google và lây lan đến hơn 200.000 thiết bị tại Brazil.

"Thực chất lỗ hổng này đã bị khai thác từ rất lâu và cũng đã lén đào tiền ảo từ máy tính người dùng. Và dạng tấn công giả mạo các chứng chỉ an toàn không phải là mới, các hacker chỉ sử dụng kiểu ngụy trang này cho các cuộc tấn công ẩn danh, bạn hoàn toàn có thể tránh khỏi được chúng với điều kiện thiết lập an toàn với các chứng chỉ như HTTPS”, chuyên gia Trend Micro cho biết.

Khi nghiên cứu sâu hơn về mã độc mới này, chuyên gia bảo mật nhận ra các tệp độc hại khác tiếp tục được tải xuống mà không cần ẩn danh định dạng như đề cập trước đó của chúng tôi. Điều này làm họ hoài nghi rằng đoạn code mã độc được mã hóa có thể là một chiêu “dương đông kích tây” tiếp theo mà các hacker đang cố tình tạo ra cho mục đích phát tán mã độc.

Ngoài ra, Trend Micro phát hiện ra mã độc đào tiền ảo XMR đã “tiến hóa” vượt bậc đặc biệt là ở thị trường "cày" tiền ảo ở Trung Quốc. Thực tế, Trung Quốc luôn là thị trường béo bở với lượng người sử dụng máy tính vượt trội, do đó các hacker lây lan mã độc tại đây sẽ tha hồ thu lợi.

Trend Micro cũng kiến nghị các công ty đang sử dụng máy chủ Oracle WebLogic phải cập nhật phần mềm bảo mật lên phiên bản mới nhất, từ đó để tăng thêm mức độ bảo mật cho máy chủ đồng thời ngăn chặn được các nguy cơ thất thoát về tiền điện tử cũng như tài nguyên máy tính của doanh nghiệp”.

Lưu ý những triệu chứng máy tính bị cài mã độc đào tiền ảo:

- Phần trăm CPU usage được sử dụng nhiều hơn bình thường.

- Quạt làm mát chạy phát ra tiếng ồn như đang chạy chương trình xử lý nặng.

- Máy tính chậm hẳn mà không rõ nguyên do.

- RAM bị chiếm dụng nhiều hơn các ứng dụng đang mở.

Nếu máy tính đang có những dấu hiệu trên đừng bỏ qua mối lo ngại thiết bị đang bị hacker chiếm dụng để “phục vụ” cho mục đích trục lợi cá nhân hay đào tiền ảo. Lưu ý thêm, vấn đề này sẽ được xử lý khi người dùng thường xuyên cập nhật phiên bản bảo mật và tuyệt đối không bao giờ tắt tự động cập nhật.