Phần mềm độc hại đã lây nhiễm hàng chục nghìn người dùng, chiếm lấy thiết bị của họ để khai thác và cố gắng trộm tiền điện tử — nhưng chỉ thu được khoảng 6.000 USD.
Công ty an ninh mạng Doctor Web báo cáo vào ngày 8 tháng 10 rằng họ đã phát hiện phần mềm độc hại giả mạo là phần mềm hợp pháp, như các chương trình văn phòng, mã cheat trò chơi và bot giao dịch trực tuyến.
Phần mềm khai thác và trộm tiền điện tử đã xâm nhập vào hơn 28.000 người dùng, chủ yếu ở Nga nhưng cũng ở Belarus, Uzbekistan, Kazakhstan, Ukraine, Kyrgyzstan, và Thổ Nhĩ Kỳ.
Theo Doctor Web, các hacker chỉ chiếm được khoảng 6.000 USD tiền điện tử. Tuy nhiên, không rõ kẻ tạo ra phần mềm độc hại đã kiếm được bao nhiêu từ việc khai thác tiền điện tử.
Công ty an ninh mạng cho biết nguồn gốc của phần mềm độc hại bao gồm các trang GitHub lừa đảo và mô tả video trên YouTube chứa các liên kết độc hại.
Khi một thiết bị bị lây nhiễm, phần mềm được triển khai một cách ẩn danh chiếm dụng tài nguyên máy tính để khai thác tiền điện tử.
Một “Clipper” cũng giám sát địa chỉ ví tiền điện tử mà người dùng sao chép lên bảng tạm thiết bị của họ, và phần mềm độc hại thay thế bằng địa chỉ do kẻ tấn công kiểm soát — đó là cách chúng thu được một lượng nhỏ tiền điện tử.
Chain tấn công của phần mềm độc hại. Nguồn: Doctor Web
Phần mềm độc hại sử dụng các kỹ thuật tinh vi để tránh phát hiện, bao gồm cả tệp lưu trữ được bảo vệ bằng mật khẩu để vượt qua quét virus, ngụy trang tệp độc hại làm thành phần hệ thống hợp pháp, và sử dụng phần mềm hợp pháp để thực thi mã độc hại.
Vào tháng 9, sàn giao dịch tiền điện tử Binance cảnh báo về phần mềm Clipper, ghi nhận sự gia tăng hoạt động vào cuối tháng 8, “dẫn đến tổn thất tài chính đáng kể cho người dùng bị ảnh hưởng.”
Doctor Web cho biết nhiều thiết bị của nạn nhân phần mềm độc hại bị tấn công “bằng cách cài đặt phiên bản bẻ khóa của các chương trình phổ biến” và khuyến nghị chỉ cài đặt phần mềm từ nguồn chính thức.
Phần mềm độc hại thay đổi bảng tạm đã tồn tại nhiều năm và nổi bật sau đợt tăng giá tiền điện tử năm 2017.
Những loại chương trình độc hại này ngày càng trở nên tinh vi hơn, thường kết hợp hành vi chiếm đoạt bảng tạm với các chức năng độc hại khác.
Vào tháng 9, công ty tình báo đe dọa Facct đã báo cáo rằng các tác nhân độc hại và kẻ lừa đảo đã lợi dụng chức năng tự động phản hồi email để phát tán phần mềm độc hại khai thác tiền điện tử.
