Gần 500.000 máy tính đã bị nhiễm mã độc đào tiền ảo Dofoil chưa đầy 12 giờ

ma-doc-dao-tien-ao

Hai ngày trước, Microsoft đã gặp phải một sự cố tấn công khai thác tiền ảo (hay còn gọi là tiền mã hóa) đã lây lan nhanh chóng và lây nhiễm gần 500.000 máy tính trong vòng 12 giờ đồng hồ.

Tin tặc đã sử dụng phương thức tấn công Dofoil (hay còn gọi là Smoke Loader). Dofoil  cho phép sử dụng phần mềm độc hại phá hủy một chương trình khai thác tiền mã hóa là payload trên các máy tính Windows bị lây nhiễm, loại bỏ tiền ảo Electroneum, cho phép kẻ tấn công sử dụng các CPU của nạn nhân.

Cụ thể, vào ngày 6 tháng 3, Windows Defender bất ngờ phát hiện ra hơn 80.000 trường hợp của một số biến thể của Dofoil và đã phát báo động với bộ phận nghiên cứu của Microsoft Windows Defender, sau đó trong vòng 12 giờ đã có hơn 400.000 trường hợp được ghi nhận bị tấn công.

Tính đến thời điểm hiện tại, nhóm nghiên cứu bảo mật của Microsoft cho biết sự cố tấn công trên đã lây lan nhanh chóng trên khắp lãnh thổ nước Nga, Thổ Nhĩ Kỳ, Ukraine, và hơn thế nữa. Chúng đã mang theo đồng tiền kỹ thuật số để giả mạo là nhị phân Windows hợp pháp nhằm tránh bị quản trị phát hiện.

microsoft-phat-hien-ma-doc-dao-tien-ao

Theo các nhà nghiên cứu, phương pháp tấn công Dofoil trojan sử dụng một kỹ thuật chèn mã cũ (old code injection) được gọi là “quá trình rỗng”, nó liên quan tới việc tạo ra một trường hợp mới của quá trình hợp pháp với mã độc tấn công để mã thứ hai chạy, thay vì các công cụ giám sát quá trình và tin tưởng vào quá trình ban đầu đang chạy. Thực hiện chạy file explorer.exe rỗng sau đó quay lại một ví dụ độc hại thứ hai, loại bỏ và chạy một phần mềm độc hại khai thác tiền ảo giả mạo như là một nhị phân Windows hợp pháp, wuauclt.exe.

Để có thể kiếm được nhiều tiền ảo, tin tặc đã ăn trộm tài nguyên trên thiết bị người dùng trong thời gian dài, Dofoil trojan sẽ sửa đổi registry Windows sau đó tạo ra một bản sao của phần mềm độc hại gốc trong thư mục Roaming AppData và đổi tên nó thành ditereah.exe. Sau khi tạo thành công khóa registry hoặc sửa đổi một số bản hiện có để chuyển đến bản sao phần mềm độc hại mới được tạo ra. Từ đó, mã độc hại này có thể thay đổi phím OneDriveRun.

Dofoil cũng kết nối đến một máy chủ điều khiển và điều khiển từ xa (C & C) trên cơ sở hạ tầng mạng Namecoin và lắng nghe lệnh mới, bao gồm cài đặt phần mềm độc hại bổ sung.

Microsoft cho biết việc áp dụng Windows Defender Antivirus nhằm theo dõi hành vi và kỹ thuật người dùng sử dụng máy tính dựa trên trí tuệ nhân tạo đã óng một vai trò quan trọng trong việc phát hiện và ngăn chặn chiến dịch chống mã độc Dofoil trojan nói trên.