500.000 máy tính bị lây nhiễm mã độc chỉ trong 12 giờ đồng hồ

Posted on 16/03/2018

Ngày 6/3 vừa qua, hãng Microsoft đã phát hiện một mã độc đào tiền mới có tốc độ lây lan nhanh chóng. Chỉ sau 12h đồng hồ đã có đến 500.000 máy tính lây nhiễm. Tuy nhiên Microsoft thông báo họ đã chặn đứng lại mã độc này trước khi nó lan rộng ra hơn.

Mã độc Dofoil, hay còn gọi Smoke Loader đã được phát hiện khi các mã này tiến hành đào tiền ảo trên các máy tính bị lây nhiễm, từ đó cho phép kẻ tấn công sử dụng tài nguyên CPU của nạn nhân để đào tiền Electroneum.

Cụ thể, cách đây 2 ngày, Windows Defender bất ngờ phát hiện ra hơn 80.000 biến thể của Dofoil. Và chỉ sau 12 tiếng, đã có hơn 400.000 trường hợp được ghi nhận.

Nhóm nghiên cứu Microsoft Windows Defender phát hiện tất cả các biến thể lây lan nhanh chóng tại các quốc gia như Nga, Thổ Nhĩ Kỳ và Ukraine đều chứa một payload đào tiền kỹ thuật số. Payload này “ngụy trang” thành một file bình thường trong hệ thống Windows.

Tuy nhiên, Microsoft lại không đề cập về việc tại sao mà mã độc có thể lây lan một cách nhanh chóng trong hệ thống windows như vậy.

Dofoil sử dụng một ứng dụng đào tiền ảo tùy chỉnh để có thể đào nhiều loại tiền ảo khác nhau, nhưng trong lần tấn công này, mã độc chỉ được lập trình để khai thác tiền ảo Electroneum.

Anh 2 

Theo các nhà nghiên cứu, mã độc Dofoil sử dụng một kỹ thuật chèn mã cũ có tên ‘process hollowing’, liên quan đến việc tạo ra biến thể chứa mã độc từ một tiến trình hợp pháp để chạy mã thứ hai thay cho các công cụ giám sát tiến trình gốc, khiến các công cụ kiểm soát tiến trình và phần mềm diệt virus tưởng rằng tiến trình gốc đang chạy.

“Tiến trình explorer.exe bị khai thác sau đó chạy một biến thể thứ hai chứa mã độc, tải về và chạy một mã độc đào tiền ảo giả mạo như một tập tin Windows, là wuauclt.exe”.

Để có thể tồn tại lâu dài trên hệ thống bị nhiễm sau đó mượn tài nguyên máy tính để đào Electroneum, Dofoil đã tiến hành registry của Windows.

Các chuyên gia cho biết, “Tiến trình explorer.exe bị khai thác tạo ra một bản sao của malware gốc trong thư mục Roaming AppData và đổi tên nó thành ditereah.exe. Sau đó nó tạo ra một registry key hoặc sửa đổi registry key hiện tại để chuyển hướng đến malware mới được tạo ra. Trong mẫu chúng tôi đã phân tích, malware đã sửa đổi OneDrive Run key”.

Dofoil cũng kết nối đến một máy chủ C&C từ xa của cơ sở hạ tầng mạng Namecoin. Do vậy nó có thể nhận các lệnh mới từ máy chủ, bao gồm lệnh cài đặt thêm các malware.

Leave a Reply

Your email address will not be published. Required fields are marked *