Mã độc được mã hóa là một chiêu “dương đông kích tây” tiếp theo mà các hacker đang cố tình tạo ra.

Trong quá khứ, mã độc lén đào tiền ảo lớn nhất được phát hiện là vào tháng 12/2017. Các hacker âm thầm xâm nhập vào mạng Wi-Fi cửa hàng Starbucks ở Buenos Aires và phát tán thông qua những người truy cập. Thậm chí, công cụ khai thác này còn được tìm thấy đang chạy quảng cáo trên YouTube thông qua nền tảng DoubleClick của Google và lây lan đến hơn 200.000 thiết bị tại Brazil.

Như các báo cáo trước đây, các hacker luôn có nhiều cách khác nhau để lén lút cài đặt mã độc khai thác tiền điện tử trên máy tính của người dùng mà họ không hề hay biết thủ thuật này được gọi chung là Cryptojacking: Chúng sẽ dùng chính tài nguyên, cấu hình từ máy tính của người sử dụng và đào tiền ảo mà không cần bất kỳ sự cho phép hay đồng ý từ chủ sở hữu.

Mã độc đào tiền ảo sẽ âm thầm khai thác tài nguyên máy tính của người dùng để trục lợi.

Lần này, các chuyên gia bảo mật từ Trend Micro xác nhận những kẻ tấn công đã khai thác lỗ hổng bảo mật từ máy chủ Oracle WebLogic và cài đặt phần mềm độc hại khai thác đồng tiền ảo Monero (gọi tắt là XMR), đồng thời ẩn thân như một dạng mã hóa gây khó khăn cho các chuyên gia an tinh mạng khi tìm hiểu định dạng.

Ngay khi có thông tin từ Trend Micro, một bản vá cho lổ hổng bảo mật cho máy chủ Oracle WebLogic (“CVE-2019-2725”) đã được cập nhật và theo báo cáo đó là lỗi trong quá trình giải mã định dạng dữ liệu.

Trend Micro cũng trích dẫn thêm các báo cáo từ diễn đàn SANS ISC InfoSec rằng, thật chất lỗ hổng này đã bị khai thác từ rất lâu và cũng đã lén đào tiền ảo từ máy tính người dùng. Trend Micro đã xác nhận những thông tin khác từ diễn đàn và phân tích các báo cáo từ các thành viên diễn đàn.

“Thực chất, dạng tấn công giả mạo các chứng chỉ an toàn không phải là mới, các hacker chỉ sử dụng kiểu ngụy trang này cho các cuộc tấn công ẩn danh, bạn hoàn toàn có thể tránh khỏi được chúng với điều kiện thiết lập an toàn với các chứng chỉ như HTTPS”, chuyên gia Trend Micro cho biết.

Trend Micro cũng đã phân tích sâu hơn và phát hiện ra các phần mềm độc hại thường thông qua PowerShell để khai thác CVE-2019-2725 từ đó thực thi các hành vi đào tiền ảo XMR. Kèm theo đó là các báo cáo mới về loại mã độc này cho người dùng từ các chuyên gia của Trend Micro như sau:

“Khi nghiên cứu sâu hơn về mã độc mới này, chúng tôi nhận ra các tệp độc hại khác tiếp tục được tải xuống mà không cần ẩn danh định dạng như đề cập trước đó của chúng tôi. Điều này làm chúng tôi hoài nghi rằng đoạn code mã độc được mã hóa có thể là một chiêu “dương đông kích tây” tiếp theo mà các hacker đang cố tình tạo ra cho mục đích phát tán mã độc.

Cũng trong thông báo này, Trend Micro phát hiện ra mã độc đào tiền ảo XMR đã “tiến hóa” vượt bậc đặc biệt là ở thị trường “cày” tiền ảo ở Trung Quốc ở mùa Xuân vừa qua, như các bạn đã biết Trung Quốc luôn là thị trường béo bở với lượng người sử dụng máy tính vượt trội, do đó các hacker lây lan mã độc tại đây sẽ tha hồ thu lợi.

Trend Micro cũng kiến nghị các công ty đang sử dụng máy chủ Oracle WebLogic phải cập nhật phần mềm bảo mật lên phiên bản mới nhất, từ đó để tăng thêm mức độ bảo mật cho máy chủ đồng thời ngăn chặn được các nguy cơ thất thoát về tiền điện tử cũng như tài nguyên máy tính của doanh nghiệp”.

Hãy lưu ý những triệu chứng máy tính như:

– Phần trăm CPU usage được sử dụng nhiều hơn bình thường.

– Quạt làm mát chạy phát ra tiếng ồn như đang chạy chương trình xử lý nặng.

– Máy tính chậm hẳn mà không rõ nguyên do.

– RAM bị chiếm dụng nhiều hơn các ứng dụng đang mở.

Nếu máy tính đang có những dấu hiệu trên đừng bỏ qua mối lo ngại thiết bị của bạn đang bị hacker chiếm dụng để “phục vụ” cho mục đích trục lợi cá nhân hay đào tiền ảo. Lưu ý thêm, vấn đề này sẽ được xử lý khi bạn thường xuyên cập nhật phiên bản bảo mật và tuyệt đối không bao giờ tắt tự động cập nhật.