Một vụ bùng phát phần mềm độc hại lớn gần đây đã gây nhiễm gần nửa triệu máy tính. Mã độc đào tiền ảo đã lây lan chỉ trong vài giờ bởi một cổng backdoor của người dùng BitTorrent mang tên MediaGet.

    Dubbed Dofoil (hay còn biết đến với cái tên Smoke Loader) là tên loại mã độc được phát hiện đã lây nhiễm cho các máy tính trong vụ việc trên. Nó tấn công vào máy tính của nạn nhân, dùng các payload ẩn tải xuống máy tính nạn nhân phần mềm độc hại biến thiết bị của người dùng thành công cụ đào tiền ảo Electroneum cho tin tặc.

    Vào ngày 6 tháng 3 vừa qua, chiến dịch sử dụng mã độc Dofoil này đã tấn công các máy tính ở Nga, Thổ Nhĩ Kỳ và Ukraine. Bộ phận nghiên cứu Microsoft Defend đã phát hiện và ngăn chặn cuộc tấn công này trước khi nó tăng thêm mức độ thiệt hại.

    Nhiều máy tính ở Nga và các nước lân cận đã bị mã độc này tấn công
    Nhiều máy tính ở Nga và các nước lân cận đã bị mã độc này tấn công

    Vào thời điểm các nhà nghiên cứu của Windows Defender phát hiện ra cuộc tấn công này, họ đã không đề cập đến rằng phần mềm độc hại này có thể sẽ được chuyển đến mục tiêu mới chỉ trong 12 giờ. Tuy nhiên, sau cuộc điều tra, Microsoft đã tiết lộ rằng kẻ tấn công đã nhắm mục tiêu vào cơ chế cập nhật của phần mềm MediaGet BitTorrent để đẩy tệp trojanized (mediaget.net) vàp máy tính của người dùng.

    “Mediaget.exe đã tải xuống một chương trình mang tên update.exe để cài một tệp mediaget.exe mới. Chương trình mediaget.exe mới này có công dụng tương tự như phiên bản gốc nhưng được thêm tính năng tạo lỗ hổng backdoor”

    Các nhà nghiên cứu tin rằng MediaGet đã tải xuống tệp update.exe có thể sẽ là nạn nhân của cuộc tấn công vào chuỗi các phần mềm cần thiết. Một kịch bản tấn công đã được thực hiện trước đó khi phần mềm CCleaner đã bị tin tặc tấn công, khiến 2,3 triệu người dùng bị lây nhiễm mã độc vào tháng 9 năm 2017.

    Tệp MediaGet.exe được tin tặc sử dụng để tấn công vào máy tính của người dùng.
    Tệp MediaGet.exe được tin tặc sử dụng để tấn công vào máy tính của người dùng.

    Ngoài ra, trong trường hợp này, những kẻ tấn công tải xuống bản cập nhật poison.exe với một chứng chỉ an toàn khác để vượt qua yêu cầu kiểm duyệt của MediaGet.

    “Bản cập nhật bị bỏ qua là một tệp nén mang tên InnoSetup SFX với tệp mediaget.exe bên trong đó chứa mã độc trojanized cũng update.exe. Khi chạy, nó sẽ tải xuống mã độc trojanized bằng payload mediaget.exe.”

    Sau khi cập nhật hoàn tất, phần mềm BitTorrent nhiễm mã độc với lỗ hổng backdoor sẽ tự động kết nối ngẫu nhiên vào một trong số bốn máy chủ điều khiển và kiểm soát (C&C sever) trên cơ sở hạ tầng mạng Namecoin và chờ thực thi lệnh mới.

    Tiếp đó, nó ngay lập tức tải các chương trình CoinMiner từ máy chủ C&C, và bắt đầu sử dụng thiết bị của nạn nhân để giải thuật toán đào tiền ảo.

    Bằng việc sử dụng máy chỉ C&C, kẻ tấn công có thể yêu cầu các hệ thống bị nhiễm mã độc tải xuống và cài đặt thêm phần mềm độc hại từ một URL từ xa.

    Các nhà nghiên cứu đã đưa ra những báo cáo rằng BitTorrent bị nhiễm mã độc được phát hiện bởi Windows Defender AV và Trend Micro Security dưới định dạng Trojan:Win32/Modimer.A, giống 98% với mã nhị phân của MediaGet gốc.

    Định dạng Trojan:Win32/Modimer.A, giống 98% với mã nhị phân của MediaGet gốc.
    Định dạng Trojan:Win32/Modimer.A, giống 98% với mã nhị phân của MediaGet gốc.

    Microsoft cho biết việc giám sát hành vi và thực thi các kỹ thuật học máy dựa trên AI được tích hợp trong Windows Defender và Trend Micro Security 12 đóng vai trò quan trọng trong việc phát hiện và ngăn chặn chiến dịch chống sự lây lan khổng lồ của mã độc này.

    Chia sẻ.