Tin tặc ẩn phần mềm độc hại trong các tệp cài đặt Windows để khai thác tiền điện tử

Mai Linh, Phạm Thu Trang, Lâm Thị Nguyệt| 17/11/2018 14:49
Theo dõi ICTVietnam trên

Các chương trình kích hoạt mật mã đang ngày càng phức tạp hơn trong thời gian gần đây. Dường như tin tặc hiện đang sử dụng cách ngụy trang cho các phần mềm độc hại khai thác tiền điện tử và chuyển nó thành các gói cài đặt Windows hợp pháp.

Các nhà nghiên cứu nói rằng các phần mềm độc hại, thường được gọi là Coinminer, được thiết kế đặc biệt để khó bị phát hiện. Điều làm cho cuộc tấn công đặc biệt khó phát hiện là nó sử dụng một loạt các phương pháp obfuscation.

Phát hiện này đến từ công ty bảo mật Trend Micro.

“Các phần mềm độc hại xuất hiện trên máy tính của nạn nhân như một tập tin Windows Installer MSI, điều này đáng chú ý bởi vì Windows Installer là một ứng dụng hợp pháp được sử dụng để cài đặt phần mềm,” báo cáo chỉ ra. “Ngụy trang dưới dạng một tệp cài đặt Windows thực sự làm cho nó trông ít nghi ngờ và có khả năng cho phép nó vượt qua các bộ lọc bảo mật nhất định.”

Thủ đoạn của tin tặc không dừng ở đó. Các nhà nghiên cứu lưu ý rằng, sau khi cài đặt, thư mục phần mềm độc hại chứa nhiều tệp khác nhau hoạt động như mồi nhử. Trong số những tệp còn lại, trình cài đặt đi kèm với một tập lệnh chống lại bất kỳ quá trình chống phần mềm độc hại nào đang chạy trên máy của bạn, cũng như mô-đun khai thác tiền điện tử thực tế.

Các nhà nghiên cứu cũng quan sát thấy rằng phần mềm độc hại có một cơ chế tự hủy tích hợp để tránh bị phát hiện và dò nguồn gốc của nó. Báo cáo cho biết: “Để làm cho việc phát hiện và phân tích trở nên khó khăn hơn, phần mềm độc hại được cài đặt đi kèm với một cơ chế tự hủy. Nó xóa tất cả các tệp trong thư mục cài đặt của nó và loại bỏ bất kỳ dấu vết cài đặt nào trong hệ thống.”

Trong khi Trend Micro không thể liên kết lại cuộc tấn công với một quốc gia cụ thể, nó chỉ ghi chú trình cài đặt sử dụng Cyrillic đã bị tấn công bằng hình thức này. Nói một cách công bằng, Cyrillic có vẻ khá phổ biến đối với những tin tặc khai thác tiền điện tử.

Dịch vụ khai thác tiền điện tử

Quay lại đầu năm 2018, các chuyên gia bảo mật cảnh báo rằng các tập lệnh mã hóa có chứa mã độc được dự đoán sẽ phát triển mạnh mẽ ở tất cả các địa điểm một cách bất ngờ.

Thật vậy, năm nay chúng tôi đã thấy các tin tặc đưa các phần mềm độc hại nhằm khai thác tiền điện tử thông qua cập nhật Adobe Flash, bộ định tuyến và hàng nghìn trang web thương mại và chính phủ.

Trong trường hợp mã độc crypto-jacking cao cấp mới nhất, tuần trước một trường đại học Canada đã buộc phải tạm thời đóng băng toàn bộ mạng lưới của mình sau khi phát hiện ra mã độc pesky đã tấn công mạng lưới của mình để bí mật khai thác Bitcoin.

Theo tính toán trong quy mô các cuộc tấn công của phần mềm độc hại khai thác tiền điện tử, không có gì ngạc nhiên khi các báo cáo đều dự đoán mã độc crypto-jackers đang kiếm lợi bất chính hơn 250.000 đô la mỗi tháng.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Tin tặc ẩn phần mềm độc hại trong các tệp cài đặt Windows để khai thác tiền điện tử
POWERED BY ONECMS - A PRODUCT OF NEKO