Các chuyên gia bảo mật đến từ Trend Micro vừa phát hiện ra một cuộc tấn công quy mô lớn nhằm khai thác đồng tiền ảo Monero từ tài nguyên của nạn nhân.
Trong quá khứ, mã độc lén đào tiền ảo lớn nhất được phát hiện là vào tháng 12/2017. Hacker đã âm thầm xâm nhập vào mạng WiFi cửa hàng StarBucks ở Buenos Aires và phát tán thông qua những người truy cập. Thậm chí, công cụ khai thác này còn được tìm thấy đang chạy quảng cáo trên YouTube thông qua nền tảng DoubleClick của Google và lây lan đến hơn 200.000 thiết bị tại Brazil.
Như các báo cáo trước, Hacker luôn có nhiều cách khác nhau để lét lút cài đặt mã độc khai thác tiền điện tử trên máy tính của người dùng mà họ không hề hay biết. Thủ thuật này được gọi chung là Cryptojacking – chúng sẽ dùng chính tài nguyên, cấu hình từ máy tính của người sử dụng và tiến hành đào tiền ảo mà không cần bất kì sự cho phép hay đồng ý từ chủ sở hữu.
Lần này, các chuyên gia bảo mật từ Trend Micro xác nhận những kẻ tấn công đã khai thác lỗ hổng bảo mật từ máy chủ Oracle WebLogic và cài đặt phần mềm độc hại khai thác đồng tiền ảo Monero (gọi tắt là XMR), đồng thời ẩn thân như một dạng mã hóa gây khó khăn cho các chuyên gia an tinh mạng khi tìm hiểu định dạng.
Ngay khi có thông tin từ Trend Micro, một bản vá cho lổ hổng bảo mật cho máy chủ Oracle WebLogic (“CVE-2019-2725”) đã được cập nhật và theo báo cáo đó là lỗi trong quá trình giải mã định dạng dữ liệu.
Trend Micro cũng đã trích dẫn thêm từ các báo cáo từ diễn đàn SANS ISC InfoSec, thực chất lỗ hổng này đã bị khai thác từ rất lâu và cũng đã tiến hành thủ thuật lén đào tiền ảo từ máy tính người dùng. Hãng đã xác nhận những thông tin khác từ diễn đàn và phân tích các báo cáo từ các thành viên diễn đàn.
“Dạng tấn công giả mạo các chứng chỉ an toàn không phải là mới, các Hacker chỉ sử dụng kiểu ngụy trang này cho các cuộc tấn công ẩn danh, bạn hoàn toàn có thể tránh khỏi được chúng với điều kiện thiết lập an toàn với các chứng chỉ như HTTPs”. Chuyên gia Trend Micro cho biết.
Trend Micro cũng đã phân tích sâu hơn và phát hiện ra các phần mềm độc hại thường thông qua PowerShell để khai thác CVE-2019-2725, từ đó thực thi các hành vi đào tiền ảo XMR. Kèm theo đó là các báo cáo mới về loại mã độc này cho người dùng từ các chuyên gia của Trend Micro:
“Khi nghiên cứu sâu hơn về mã độc mới này, chúng tôi nhận ra các tệp độc hại khác tiếp tục được tải xuống mà không cần ẩn danh định dạng như đề cập trước đó. Điều này làm chúng tôi hoài nghi rằng đoạn code mã độc được mã hóa có thể là 1 chiêu “Dương đông kích tây” tiếp theo mà các Hacker đang cố tình tạo ra cho mục đích phát tán mã độc.”
Cũng trong thông báo này, Trend Micro phát hiện ra mã độc đào tiền ảo XMR đã “tiến hóa” vượt bậc đặc biệt là ở thị trường cày tiền ảo ở Trung Quốc ở mùa Xuân vừa qua. Trung Quốc luôn là thị trường béo bở với lượng người sử dụng máy tính vượt trội, do đó các Hacker lây lan mã độc tại đây sẽ tha hồ thu lợi.
Trend Micro cũng kiến nghị các công ty đang sử dụng máy chủ Oracle WebLogic phải cập nhật phần mềm bảo mật lên phiên bản mới nhất, từ đó để tăng thêm mức độ bảo mật cho máy chủ đồng thời ngăn chặn được các nguy cơ thất thoát về tiền điện tử cũng như tài nguyên máy tính của doanh nghiệp.
Hãy lưu ý những triệu chứng máy tính như:
– Phần trăm CPU usage được sử dụng nhiều hơn bình thường.
– Quạt làm mát chạy phát ra tiếng ồn như đang chạy chương trình xử lý nặng.
– Máy tính chậm hẳn mà không rõ nguyên do.
– RAM bị chiếm dụng nhiều hơn các ứng dụng đang mở.
Nếu máy tính đang có những dấu hiệu trên, đừng bỏ qua mối lo ngại thiết bị của bạn đang bị Hacker chiếm dụng để “phục vụ” cho mục đích trục lợi cá nhân hay đào tiền ảo. Lưu ý thêm, vấn đề này sẽ được xử lý khi bạn thường xuyên cập nhật phiên bản bảo mật và tuyệt đối không bao giờ tắt tự động cập nhật .
Theo Trend Micro
Điện thoại: 0914891608
Email: dangnguyen@trendmicro.net.vn