Chỉ trong vài giờ hơn 500.000 máy tính bị nhiễm mã độc đào tiền ảo mới

20/03/2017
113
356 bài viết
Chỉ trong vài giờ hơn 500.000 máy tính bị nhiễm mã độc đào tiền ảo mới
Anh 1.png
Ngày 6/3, hãng Microsoft phát hiện mã độc đào tiền mới có tốc độ lây lan nhanh chóng. Gần 500.000 máy tính đã bị nhiễm mã độc này chỉ trong 12 giờ đồng hồ. Tuy nhiên Microsoft đã chặn đứng thành công trước khi nó lây lan rộng hơn.

Mã độc Dofoil, hay còn gọi Smoke Loader được phát hiện đã cài một chương trình đào tiền ảo trên các máy tính Windows bị lây nhiễm, từ đó cho phép kẻ tấn công sử dụng tài nguyên CPU của nạn nhân để đào tiền Electroneum.

Cụ thể, cách đây 2 ngày, Windows Defender bất ngờ phát hiện ra hơn 80.000 biến thể của Dofoil. Chỉ trong 12 giờ tiếp theo, đã có hơn 400.000 trường hợp được ghi nhận.

Nhóm nghiên cứu Microsoft Windows Defender phát hiện tất cả các biến thể lây lan nhanh chóng tại Nga, Thổ Nhĩ Kỳ và Ukraine đều chứa một payload đào tiền kỹ thuật số. Payload này “ngụy trang” thành một tập tin Windows hợp pháp để tránh bị phát hiện.

Tuy nhiên, Microsoft không đề cập cách thức phát tán ban đầu của các biến thể mã độc tới một số lượng lớn máy tính trong thời gian ngắn như vậy.

Dofoil sử dụng một ứng dụng đào tiền ảo tùy chỉnh để có thể đào nhiều loại tiền ảo khác nhau, nhưng trong chiến dịch này, mã độc chỉ được lập trình để khai thác tiền ảo Electroneum.
Anh 2.png

Theo các nhà nghiên cứu, trojan Dofoil sử dụng một kỹ thuật chèn mã cũ có tên 'process hollowing', liên quan đến việc tạo ra biến thể chứa mã độc từ một tiến trình hợp pháp để chạy mã thứ hai thay cho các công cụ giám sát tiến trình gốc, khiến các công cụ kiểm soát tiến trình và phần mềm diệt virus tưởng rằng tiến trình gốc đang chạy.

“Tiến trình explorer.exe bị khai thác sau đó chạy một biến thể thứ hai chứa mã độc, tải về và chạy một mã độc đào tiền ảo giả mạo như một tập tin Windows, là wuauclt.exe”.

Để có thể tồn tại lâu dài trên hệ thống bị nhiễm sau đó mượn tài nguyên máy tính để đào Electroneum, Dofoil sửa đổi registry của Windows.

Các chuyên gia cho biết, "Tiến trình explorer.exe bị khai thác tạo ra một bản sao của malware gốc trong thư mục Roaming AppData và đổi tên nó thành ditereah.exe. Sau đó nó tạo ra một registry key hoặc sửa đổi registry key hiện tại để chuyển hướng đến malware mới được tạo ra. Trong mẫu chúng tôi đã phân tích, malware đã sửa đổi OneDrive Run key".

Dofoil cũng kết nối đến một máy chủ C&C từ xa của cơ sở hạ tầng mạng Namecoin. Do vậy nó có thể nhận các lệnh mới từ máy chủ, bao gồm lệnh cài đặt thêm các malware.

Theo Hackernews
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
dofoil smoke loader
Bên trên