Mã độc đào tiền ảo PyRoMineIoT mà Trend Micro vừa phát hiện sử dụng mã thực thi (RCE) khai thác EternalRomance, từ máy tính sẽ tìm kiếm, tấn công vào các thiết bị IoT.
Tiền điện tử ngày càng phổ biến làm tăng nguy cơ bị tấn công bởi phần mềm độc hại cho người dùng. Mới đây, Trend Micro vừa phát hiện một phần mềm độc hại sử dụng đào tiền ảo Monero (XMR)-miner có tên gọi PyRoMineIoT. Nó sử dụng mã thực thi (RCE) khai thác EternalRomance (tên phát hiện bởi Trend Micro: TROJ_ETERNALROM.A), từ máy tính sẽ tìm kiếm, tấn công vào các thiết bị IoT đang kết nối. Sự việc diễn ra từ tháng 4 năm nay, tại các quốc gia bao gồm Singapore, Đài Loan, Úc, Cote d’ Ivore và Ấn Độ.
Phần mềm độc hại viết dựa trên Python và sử dụng EternalRomance để tấn công, lây nhiễm sang tất cả các phiên bản Windows từ Windows 2000. Nó sẽ tải xuống các tệp .zip giả mạo độc hại từ trang web dưới dạng bản cập nhật bảo mật cho trình duyệt đang sử dụng. Khi lỗ hổng này được vá vào tháng 4 năm 2017, PyRomine IoT tiếp tục sử dụng obfuscation để ngụy trang, trốn tránh sự phát hiện của phần mềm bảo mật. Nó được cài đặt thông qua PyInstaller để thực thi các mã lệnh độc hại, tìm kiếm hệ thống cục bộ và lây nhiễm sang thiết bị IoT đang kết nối.
Mặc dù vẫn cần quyền quản trị, quyền truy cập hệ thống cho cả tài khoản Guest lẫn User, thông tin truy cập sẽ bị tin tặc mã hóa với nội dung nhập vào Default/P@ssw0rdf0rme hoặc aa để thực thi các payload ẩn. Nếu thông tin đăng nhập gửi đi không thành công, nó sẽ để trống tên người dùng và mật khẩu rồi thiết lập lại hệ thống nhằm khởi chạy quy trình lây nhiễm từ đầu hoặc lỗ hổng tiền đề cho cuộc tấn công trong tương lai.
Sau khi thực hiện tấn công bằng EternalRomance thành công, một VBSript obfuscated sẽ được tải xuống thiết bị để cài đặt trình khai thác XMRig vào hệ thống. Nó thêm các tài khoản điều khiển với tư cách quản trị viên, cho phép các giao thức giúp tin tặc điều khiển thiết bị từ xa và thiết lập lại tường lửa, liên kết với máy tính của kẻ tấn công qua cổng 3389. Trình khai thác tạo ra các tệp ngẫu nhiên, dừng hoạt động và vô hiệu hóa toàn bộ quy trình khác đang chạy, xóa tất cả dịch vụ và người dùng trên thiết bị. Tập lệnh buộc dừng Windows Update Service, loại bỏ các phiên bản cũ hơn của trình quản lý, khởi động Remote Access Connection Manager và thiết lập lại nó để cho phép truyền dữ liệu không mã hóa. Điều này giúp tin tặc có thể dễ dàng tìm kiếm, lây nhiễm và kiểm soát các thiết bị IoT đang kết nối trong hệ thống.
Quá trình xâm nhập của PyRoMine IoT chứa phần mềm thứ hai giúp đánh cắp quyền truy cập của người dùng trong Chrome bằng công cụ Chrome Pass, đánh cắp mật khẩu đăng nhập của người dùng thông qua trình duyệt. Phần mềm thứ hai này cho phép tin tặc lưu lại thông tin đăng nhập của người dùng ở định dạng XML, tải lên dịch vụ lưu trữ đám mây trực tuyến DriverHQ.
PyRoMine IoT quét các thiết bị IoT có thể tấn công trong hệ thống, gửi thông tin IP của thiết bị tới máy chủ của kẻ tấn công để tiến hành lên kế hoạch tấn công trong tương lai. Phần mềm độc hại bắt đầu lây lan trong các IoT đã bị tấn công từ trước vào tháng 6 năm 2018, những báo cáo chi tiết cho thấy rằng kẻ tấn công vẫn chưa nhận được nguồn lợi nào từ chiến dịch này.
Vì Monero có khả năng chống khai thác mạch tích hợp ứng dụng cụ thể (Application-Specific Integrated Circuit – ASIC), sự phân cấp và quyền riêng tư của Monero tạo điều kiện xây dựng nhiều giàn khai thác tiền ảo. Điều đó sẽ gây ảnh hưởng đến phần cứng của thiết bị nếu bị tấn công trong thời gian dài. Monero được tích hợp các công nghệ bảo mật độc quyền, vì vậy nó nhanh chóng trở thành mục tiêu tấn công chính của tin tặc và các giao dịch tại chợ đen trên mạng.
Người dùng có thể thực hiện các bước Trend Micro đề xuất dưới đây để bảo vệ thiết bị của mình:
- Thường xuyên cài đặt bản cập nhật mới nhất của Windows.
- Sử dụng dịch vụ máy chủ ảo VPN khi cố truy cập mạng từ xa.
- Tắt các giao thức hoặc ứng dụng không cần thiết trừ khi phải sử dụng đến chúng.
- Bật hệ thống bảo mật cho các cổng đầu vào để ngăn chặn xâm nhập của phần mềm độc hại và mã độc.
- Nâng cao nhận thức người dùng tại doanh nghiệp và chỉ sử dụng các phần mềm ở nguồn đáng tin cậy cũng như hợp pháp.