Công ty bảo mật không gian mạng ESET đã phát hiện một công cụ khai thác tiền điện tử bất thường và liên tục được phân phối cho MacOS và Windows kể từ tháng 8 năm 2018. Tin tức đã được tiết lộ trong một báo cáo từ ESET Research được công bố vào ngày 20/6.
Theo ESET, phần mềm độc hại mới được đặt tên là LoudMiner, dùng phần mềm ảo – VirtualBox trên Windows và QEMU trên MacOS để khai thác tiền điện tử trên máy ảo Tiny Core Linux, do đó có khả năng lây nhiễm nhiều máy tính trên nhiều hệ điều hành khác nhau.
Bản thân người đào coin đã sử dụng XMRig – một phần mềm nguồn mở được sử dụng để khai thác altcoin monero tập trung vào quyền riêng tư (XMR), cùng với đó là một mỏ đào coin. Do đó, các nhà nghiên cứu đã cố gắng ngăn chặn các giao dịch.
Nghiên cứu tiết lộ rằng đối với cả MacOS và Windows, công cụ khai thác hoạt động trong các ứng dụng lậu, được gói cùng với phần mềm ảo hóa, hình ảnh Linux và các tệp bổ sung.
Sau khi tải xuống, LoudMiner được cài đặt trước cả phần mềm mà người dùng muốn cài, nhưng được ẩn đi và hoạt động liên tục sau khi khởi động lại.
ESET lưu ý rằng công cụ khai thác nhắm vào các ứng dụng có mục đích liên quan đến sản xuất âm thanh, thường chạy trên các máy tính có sức mạnh xử lý mạnh và mức tiêu thụ CPU cao, do đó có thể khai thác tiền điện tử lén lút mà không khiến người dùng nghi ngờ.
Hơn nữa, những kẻ tấn công cố tình khai thác sự thật rằng các ứng dụng như vậy thường phức tạp và có kích thước lớn để che giấu hình ảnh máy ảo của chúng. Các nhà nghiên cứu cho biết thêm: “Quyết định sử dụng máy ảo thay vì giải pháp khác là rất đáng chú ý và đây không phải là điều chúng tôi thường thấy”.
Cho đến nay, ESET đã xác định ba loại công cụ khai thác nhắm vào các hệ thống MacOS và một loại công cụ hướng đến hệ điều hành Windows.
Các nhà nghiên cứu cảnh báo người dùng rằng để được bảo vệ chống lại mối đe dọa này, lời khuyên tốt nhất là không tải xuống các bản sao phần mềm thương mại lậu.
Bên cạnh mức tiêu thụ CPU cao, các nhà nghiên cứu cung cấp một số gợi ý để giúp người dùng phát hiện điều gì đó không ổn, bao gồm các cửa sổ bật lên từ trình cài đặt bất ngờ, hoặc dịch vụ mới được thêm vào danh sách dịch vụ khởi động (Windows) hoặc Launch Daemon mới (MacOS).
Các nhà nghiên cứu cho biết thêm, các kết nối mạng với các tên miền bất thường – do các tập lệnh bên trong máy ảo liên hệ với máy chủ C&C để cập nhật cấu hình khai thác – là một dấu hiệu khác để nhận biết phần mềm đáng nghi được cài đặt.
Hôm qua, Cointelegraph đã xuất bản một báo cáo chuyên sâu phân tích sự phát triển của phần mềm độc hại trong ngành công nghiệp tiền điện tử, bao gồm cả việc khai thác tiền điện tử lén lút.
Theo Cointelegraph
