Chiến dịch Cryptojacking Mới Được Phát Hiện
Công ty an ninh mạng Darktrace vừa phát hiện một chiến dịch cryptojacking mới được thiết kế để vượt qua Windows Defender và triển khai phần mềm khai thác tiền điện tử. Chiến dịch này, lần đầu tiên được phát hiện vào cuối tháng Bảy, liên quan đến một chuỗi lây nhiễm đa giai đoạn, âm thầm chiếm đoạt sức mạnh xử lý của máy tính để khai thác tiền điện tử.
Chiến Thuật Tấn Công
Các nhà nghiên cứu của Darktrace, Keanna Grelicha và Tara Gould, đã giải thích trong một báo cáo được chia sẻ với crypto.news rằng chiến dịch này đặc biệt nhắm vào các hệ thống dựa trên Windows bằng cách khai thác PowerShell, shell dòng lệnh và ngôn ngữ kịch bản tích hợp sẵn của Microsoft. Qua đó, các tác nhân xấu có thể chạy các kịch bản độc hại và có quyền truy cập đặc quyền vào hệ thống máy chủ.
Những kịch bản độc hại này được thiết kế để chạy trực tiếp trên bộ nhớ hệ thống (RAM), do đó, các công cụ diệt virus truyền thống thường dựa vào việc quét các tệp trên ổ cứng không thể phát hiện quá trình độc hại. Sau đó, các kẻ tấn công sử dụng ngôn ngữ lập trình AutoIt, một công cụ Windows thường được các chuyên gia CNTT sử dụng để tự động hóa các tác vụ, để tiêm một trình tải độc hại vào một quy trình Windows hợp pháp.
Trình tải này sau đó tải xuống và thực thi một chương trình khai thác tiền điện tử mà không để lại dấu vết rõ ràng trên hệ thống. Để tăng cường phòng thủ, trình tải được lập trình để thực hiện một loạt các kiểm tra môi trường, chẳng hạn như quét các dấu hiệu của môi trường sandbox và kiểm tra máy chủ để tìm các sản phẩm diệt virus đã cài đặt. Việc thực thi chỉ tiếp tục nếu Windows Defender là biện pháp bảo vệ duy nhất đang hoạt động.
Hơn nữa, nếu tài khoản người dùng bị nhiễm thiếu quyền quản trị, chương trình sẽ cố gắng vượt qua kiểm soát tài khoản người dùng để có được quyền truy cập nâng cao. Khi các điều kiện này được đáp ứng, chương trình sẽ tải xuống và thực thi NBMiner, một công cụ khai thác tiền điện tử nổi tiếng sử dụng đơn vị xử lý đồ họa của máy tính để khai thác các loại tiền điện tử như Ravencoin (RVN) và Monero (XMR).
Phản Ứng của Darktrace
Trong trường hợp này, Darktrace đã có thể kiềm chế cuộc tấn công bằng cách sử dụng hệ thống Phản hồi Tự động của mình để “ngăn chặn thiết bị thực hiện các kết nối ra ngoài và chặn các kết nối cụ thể đến các điểm cuối nghi ngờ.”
“Khi tiền điện tử tiếp tục gia tăng độ phổ biến, như đã thấy với giá trị cao liên tục của vốn hóa thị trường tiền điện tử toàn cầu (gần 4 nghìn tỷ USD tại thời điểm viết bài), các tác nhân đe dọa sẽ tiếp tục coi khai thác tiền điện tử là một hoạt động có lợi,” các nhà nghiên cứu của Darktrace viết.
Chiến Dịch Khác Được Phát Hiện
Trở lại tháng Bảy, Darktrace cũng đã phát hiện một chiến dịch riêng biệt mà các tác nhân xấu đã sử dụng các chiến thuật kỹ thuật xã hội phức tạp, chẳng hạn như giả mạo các công ty thực, để lừa người dùng tải xuống phần mềm đã bị thay đổi, từ đó triển khai phần mềm độc hại đánh cắp tiền điện tử. Không giống như kế hoạch cryptojacking đã đề cập ở trên, phương pháp này nhắm vào cả hệ thống Windows và macOS và được thực hiện bởi chính các nạn nhân không biết, những người tin rằng họ đang tương tác với các nhân viên trong công ty.
