(Không gian mạng) - Ngày 25/01, hãng bảo mật CrowdStrike (Mỹ) báo cáo phát hiện sự gia tăng hoạt động của mã độc đào tiền ảo WannaMine vài tháng qua, gây tê liệt hoạt động của các doanh nghiệp trong nhiều ngày thậm chí là nhiều tuần.

Wannamine

Mã độc đào tiền ảo Monero này từng được hãng bảo mật Panda Security (Tây Ban Nha) báo cáo vào tháng 10/2017, khi nó khai thác lỗ hổng khét tiếng EternalBlue của Cơ quan An ninh Quốc gia Mỹ (NSA).

Với cơ chế lây nhiễm tàng hình (fileless), không tiến hành tải về hay sử dụng bất kì tập tin nào để phát tán mã độc, các công ty bị xâm nhập đã rất khó khăn trong việc phát hiện mã độc. WannaMine lợi dụng các thành phần hỗ trợ Windows được cài sẵn như WMI (Windows Management Instrumentation) và trình PowerShell để qua mắt các công cụ dò tìm virus.

WannaMine cũng sử dụng những kỹ thuật cao cấp để lây nhiễm từ máy này sang máy khác trong cùng hệ thống. Đầu tiên, nó dùng công cụ Mimiktaz để trích xuất thông tin đăng nhập vào một hệ thống. Nếu thông tin sai, đăng nhập thất bại, nó sẽ tiến hành khai phá lỗ hổng EternalBlue để tấn công hệ thống từ xa.

Máy tính người dùng bị nhiễm WannaMine từ những đường dẫn độc hại trong email hoặc website. Tin tặc cũng có thể khởi chạy một truy cặp từ xa để tấn công mục tiêu.

CrowdStrike cho biết, cơ chế bền bỉ và kỹ thuật lây lan của WannaMine giống với cách thức tấn công của các nhóm tin tặc được nhà nước bảo trợ, và các cuộc tấn công này thể hiện khuynh hướng mập mờ giữa chiến thuật được nhà nước bảo trợ và tội phạm mạng thông thường.

WannaMine không phải là mã độc đầu tiên khai phá lỗ hổng EternalBlue nhưng phương thức tàng hình là điểm khiến nó trở nên nguy hiểm hơn các mã độc đào tiền ảo khác như Adyllkuzz, phát tán mã độc qua ứng dụng cpuminer.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm:
Thích và chia sẻ bài này trên