Close Menu
Mã độc tống tiền Jigsaw quay trở lại dưới mô hình đánh cắp Bitcoin
Mã độc tống tiền Jigsaw quay trở lại dưới mô hình đánh cắp Bitcoin

Mã độc tống tiền Jigsaw trở lại dưới mô hình đánh cắp Bitcoin

4 phút để đọc

Các nhà nghiên cứu bảo mật Trend Micro vừa phát hiện một phiên bản của mã độc tống tiền Jigsaw đang hoạt động trở lại dưới mô hình đánh cắp tiền ảo Bitcoin.

Sự hoạt động trở lại này của Jigsaw (được phát hiện bởi Trend Micro dưới tên RANSOM_JIGSAW.THGBDAH), còn được gọi là Bitcoin Stealer, thông qua các chuỗi được nhúng mã lệnh của phần mềm độc hại. Khi hệ thống bị tấn công, phần mềm độc hại sẽ đánh cắp thông tin ví Bitcoin của nạn nhân bằng cách sử dụng công cụ thay đổi dòng lệnh mã nguồn mở (VanityGen) để sửa đổi địa chỉ Bitcoin, chuyển nó sang tài khoản của kẻ tấn công.

Sự sửa đổi một cách tinh vi này có thể đánh lừa nạn nhân, khiến họ nghĩ rằng địa chỉ ví Bitcoin của tội phạm mạng và mình là tương tự nhau. Mã độc Jigsaw thực hiện điều này bằng cách sử dụng VanityGen để thay đổi địa chỉ ví trong clipboards.

Mã độc Jigsaw đã quay trở lại với phương thức tấn công nguy hiểm hơn trước.
Mã độc Jigsaw đã quay trở lại với phương thức tấn công nguy hiểm hơn trước.

Theo các nhà nghiên cứu Trend Micro, tội phạm mạng đã thu được 8,4 Bitcoin (tương đương 66.807 USD kể từ ngày 24 tháng 7 năm 2018) bằng cách sử dụng phần mềm độc hại được sửa lại này. Họ cũng phát hiện thấy các dịch vụ sửa đổi địa chỉ ví tiền điện tử tương tự, được quảng cáo trên các diễn đàn và trang web đen.

Mã độc Jigsaw

Nổi lên như một phần mềm độc hại mã hóa tệp tin nguy hiểm vào tháng 4 năm 2016, Jigsaw gây áp lực lên nạn nhân bằng việc xóa dần các tệp theo thời gian để đòi tiền chuộc. Từ đó, nó lan lây một cách nhanh chóng, sử dụng chiến thuật và mô hình kết hợp hỗ trợ trò chuyện trực tiếp và chuyển tiền chuộc (hình thức tương tự như trong bộ phim SawAnonymous).

Mã độc Anynomous, nỗi ám ảnh một thời, tấn công vào nhiều hệ thống.
Mã độc Anynomous, nỗi ám ảnh một thời của nhiều người dùng.

Do mã nguồn của Jigsaw từ lâu đã có sẵn trên mạng, nên không ngạc nhiên khi bọn tội phạm biến nó thành một phần mềm độc hại dạng mới, kiếm tiền từ ví điện tử. Và Jigsaw không phải là mã độc duy nhất thích ứng với công nghệ hiện đại. Một ví dụ điển hình khác gần đây là Trojan Rakhni. Nó có thể cung cấp phần mềm độc hại hoặc mã độc khai thác tiền điện tử tùy thuộc vào cấu hình hệ thống. Trickbot ban đầu được biết đến như mã độc đánh cắp thông tin, khả năng khóa màn hình kết hợp với tải phần mềm độc hại. Mã độc Cerber được tích hợp tính năng đánh cắp tiền điện tử bên cạnh những phương thức tấn công thường thấy ở nó. Tội phạm mạng cũng sử dụng những trình khai thác khét tiếng như EternalBlue để “đào mỏ” tiền điện tử. Vào năm 2017, khai thác tiền điện tử là vấn đề về mạng được quan tâm nhiều nhất trong các thiết bị kết nối với bộ định tuyến gia đình.

Mã độc đang dần thay đổi để thích nghi với chương trình bảo mật, điều đó khiến các mối đe dọa ngày càng nguy hiểm hơn.
Mã độc đang dần thay đổi để thích nghi với chương trình bảo mật, điều đó khiến các mối đe dọa ngày càng nguy hiểm hơn.

Sự tích hợp hình thức tấn công chỉ là một ví dụ về cách các mối đe dọa thích nghi với chương trình bảo mật hiện nay. Chúng sẽ còn biến đổi và phát triển ngày càng phức tạp, theo xu hướng phổ biến, ví dụ như khai thác tiền điện tử.

Chia sẻ.

Bài viết liên quan