Mã độc khai thác tiền ảo gia tăng chóng mặt

Theo VNCERT

02/01/2018 10:49:41

Theo Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), qua công tác theo dõi sự cố trên không gian mạng Việt Nam, đơn vị này đã phát hiện mã độc khai thác tiền ảo Coinhive ẩn mình trên các website.

Khi người dùng truy cập vào trang web, thư viện mã Coinhive sẽ tự động chạy trên máy tính người dùng dưới dạng tiện ích mở rộng nhằm mục đích đào tiền ảo. Cụ thể, tin tặc sẽ sử dụng trái phép tài nguyên như CPU, ổ cứng... của người dùng để đào Bitcoin, Monero và gửi về ví điện tử của mình.

Theo ông Nguyễn Khắc Lịch - Phó giám đốc VNCERT, nếu máy tính có dấu hiệu chậm chạp và kiểm tra thấy hiệu suất sử dụng CPU của các trình duyệt hoặc tiện ích mở rộng cao thì có thể máy tính đó đã bị nhiễm Coinhive và cần thông báo gấp cho quản trị mạng để xử lý. Dấu hiệu nhận biết mã độc này là các từ khóa trong mã nguồn website như coinhive.com, coinhive, coin-hive, coinhive.min.js, authedmine.com, authedmine.min.js.

Cách đây ít ngày, nhiều tài khoản Facebook tại Việt Nam đã nhận được video giả mạo qua Facebook Messenger. Mã độc được phát tán dưới dạng file nén zip có tên video_xxxx. Khi tải về và giải nén, người dùng sẽ nhận được tập tin có phần mở rộng .exe. Nếu tiếp tục bấm vào file này, người dùng sẽ bị nhiễm mã độc và trở thành công cụ phát tán virus.

Trường hợp máy tính của nạn nhân dùng trình duyệt Google Chrome, mã độc sẽ tiếp tục phát tán file zip tới danh sách bạn bè của nạn nhân qua Facebook Messenger. Mục đích của hacker khi phát tán mã độc là nhằm chiếm quyền điều khiển máy tính của nạn nhân để lợi dụng đào tiền ảo. Loại file độc hại này được xác định có nguồn gốc từ Việt Nam, được viết dựa trên ngôn ngữ lập trình miễn phí Autoit.

Giám sát của Bkav cho thấy, chỉ sau 3 ngày phát tán, đã có hơn 12.600 máy tính tại Việt Nam bị nhiễm mã độc. Trung bình cứ 10 phút, hacker lại tung ra một biến thể virus mới nhằm tránh bị phát hiện bởi các phần mềm an ninh. Theo Bkav, số máy tính bị nhiễm mã độc sẽ còn tiếp tục gia tăng mạnh nếu không có biện pháp ngăn chặn hiệu quả.

Ông Vũ Ngọc Sơn - Phó Chủ tịch phụ trách mảng chống mã độc của Bkav cho biết: “Năm 2017, các đồng tiền ảo đã tạo ra cơn sốt toàn cầu khi liên tục tăng giá phi mã. Điều này khiến cho số lượng các cuộc tấn công gia tăng mạnh mẽ nhằm biến máy tính người dùng thành công cụ đào tiền ảo. Hiện có 2 hình thức tấn công phổ biến nhất được hacker sử dụng là khai thác lỗ hổng website và lợi dụng mạng xã hội để phát tán virus. Mục tiêu của tin tặc là lây nhiễm virus cho thật nhiều máy tính để có thể tạo ra nhiều tiền ảo. Các file chứa mã độc thường có nội dung gây tò mò như “wow hot video”, sex_video_xxx.zip... 

Vì thế, số lượng nạn nhân tăng lên nhanh chóng. Đặc biệt, mã độc còn cài sẵn chức năng lấy cắp mật khẩu Facebook".

Hiện nay, đồng tiền ảo (coin) có thể được tạo ra bằng cách sử dụng công suất của các máy tính có cài đặt phần mềm chuyên đào tiền. Qua các nghiên cứu của mình, Kaspersky Lab vừa xác định được 2 botnet bị nhiễm phần mềm độc hại và hacker đã cài đặt âm thầm những phần mềm đào tiền ảo hợp pháp dựa trên công nghệ blockchain.

Theo Kaspersky Lab, tội phạm mạng có thể kiếm được tới 200.000USD từ mạng botnet với khoảng 5.000 máy tính. Những coin đào được sẽ được chuyển đến các ví của bọn tội phạm.

Thông thường, tin tặc sử dụng các Adware (phần mềm quảng cáo độc hại) để xâm nhập máy tính của nạn nhân. Sau khi chương trình Adware được cài đặt, nó sẽ tải về phần mềm khai thác tiền ảo và biến máy của nạn nhân thành công cụ đào tiền ảo cho mạng botnet. Hiện tội phạm mạng chủ yếu nhằm vào hai đồng tiền ảo là Zcash và Monero. Khi bị nhiễm mã độc này, máy tính người dùng sẽ ì ạch, thậm chí không sử dụng được.

Trước việc nở rộ mã độc nhằm vào đồng tiền ảo, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) khuyến cáo người dùng tuyệt đối không mở các tập tin lạ và nếu có nghi ngờ, cần thông báo về Cục để tổng hợp, phân tích và cảnh báo về nguy cơ tấn công mạng. Đối với trường hợp đã bị lây nhiễm, người dùng cần cài đặt và cập nhật các phần mềm diệt virus để phát hiện và ngăn chặn, loại bỏ mã độc.

Trong khi đó, Kaspersky khuyến cáo người dùng không nên cài đặt phần mềm đáng ngờ từ các nguồn không đáng tin cậy trên máy tính, đồng thời luôn kích hoạt tính năng phát hiện Adware cũng như luôn đảm bảo an toàn, bảo mật cho máy chủ.