Công cụ Windows bị tin tặc nhắm tới triển khai phần mềm độc hại khai thác tiền điện tử

Theo phân tích từ Talos Intelligence của Cisco, tin tặc đã sử dụng một công cụ Windows để phát tán phần mềm độc hại khai thác tiền điện tử kể từ tháng 11/2021.

Kẻ tấn công khai thác Windows Advanced Installer – một ứng dụng giúp các nhà phát triển đóng gói các trình cài đặt phần mềm khác, chẳng hạn như Adobe Illustrator – để thực thi các tập lệnh độc hại trên các máy bị nhiễm.

Theo một bài đăng trên blog ngày 07/09, các trình cài đặt phần mềm bị ảnh hưởng bởi cuộc tấn công chủ yếu sử dụng cho mô hình 3D và thiết kế đồ họa. Ngoài ra, hầu hết các trình cài đặt phần mềm được sử dụng trong chiến dịch phần mềm độc hại đều được viết bằng tiếng Pháp.

Phân tích giải thích:

Các phát hiện cho thấy rằng “nạn nhân có thể thuộc các ngành kinh doanh, bao gồm kiến ​​trúc, kỹ thuật, xây dựng, sản xuất và giải trí ở các quốc gia sử dụng ngôn ngữ tiếng Pháp”.

Kết quả điều tra cũng cho thấy các cuộc tấn công chủ yếu ảnh hưởng đến người dùng ở Pháp và Thụy Sĩ, một số trường hợp xuất hiện ở các quốc gia khác như Hoa Kỳ, Canada, Algeria, Thụy Điển, Đức, Tunisia, Madagascar, Singapore và cả ở Việt Nam.

Chiến dịch khai thác tiền điện tử bất hợp pháp được Talos xác định liên quan đến việc triển khai các tập lệnh bó PowerShell và Windows độc hại để thực thi các lệnh và thiết lập cửa hậu trong máy của nạn nhân.

Đặc biệt, PowerShell nổi tiếng vì chạy trong bộ nhớ của hệ thống thay vì ổ cứng, khiến việc xác định một cuộc tấn công trở nên khó khăn hơn.

Ví dụ về trình cài đặt phần mềm được đóng gói với các tập lệnh độc hại bằng Trình cài đặt nâng cao.

Đáng chú ý, sau khi cài đặt cửa sau, kể tấn công sẽ thực thi các mối đe dọa bổ sung, chẳng hạn như chương trình khai thác tiền điện tử Ethereum PhoenixMiner và lolMiner, một mối đe dọa khai thác đa xu.

Được biết, việc sử dụng phần mềm độc hại khai thác tiền điện tử được gọi là cryptojacking, liên quan đến việc cài đặt mã khai thác tiền điện tử trên một thiết bị mà người dùng không biết hoặc không cho phép nhằm khai thác tiền điện tử một cách bất hợp pháp.

Một số dấu hiệu cho thấy phần mềm độc hại khai thác có thể đang chạy trên máy bao gồm các thiết bị quá nóng và hoạt động kém.

Sử dụng các nhóm phần mềm độc hại để chiếm quyền điều khiển thiết bị nhằm khai thác hoặc đánh cắp tiền điện tử không phải là một hành vi mới.

Cựu gã khổng lồ điện thoại thông minh BlackBerry gần đây đã xác định các tập lệnh phần mềm độc hại đang tích cực nhắm mục tiêu vào ít nhất ba lĩnh vực, bao gồm dịch vụ tài chính, chăm sóc sức khỏe và chính phủ.

VIC Crypto tổng hợp

Tin tức liên quan:

Layer2 Base của Coinbase trở thành nơi “cư trú” của 500 token lừa đảo

CZ cảnh báo cộng đồng tiền điện tử về kiểu lừa đảo mới

Hơn 1,3 triệu cuộc tấn công lừa đảo tiền điện tử đã bị chặn ở Nga trong nửa đầu năm nay