Thiết bị USB độc hại lây nhiễm 35.000 máy tính với Botnet khai thác tiền điện tử

Các nhà nghiên cứu an ninh mạng từ ESET, vừa qua đã cho biết họ đã phát hiện ra một phần của mạng botnet, một chương trình độc hại bao gồm ít nhất 35.000 hệ thống Windows bị xâm nhập, mà những kẻ tấn công đang bí mật sử dụng để khai thác tiền điện tử Monero.

Botnet, được biết với cái tên “VictoryGate”, đã hoạt động từ tháng 5 năm 2019, với những người dùng bị nhiễm được báo cáo là thuộc địa phận của Mỹ Latinh, đặc biệt là Peru chiếm 90% các thiết bị bị xâm nhập.

“Hoạt động chính của botnet là khai thác tiền điện tử Monero,” ESET cho biết. “Các nạn nhân bao gồm các tổ chức tài chính, cá nhân, công ty thương mại …”

ESET cho biết họ đã làm việc với nhà cung cấp tên miền (DNS)  No-IP để gỡ các máy chủ chỉ huy và kiểm soát độc hại (C2) và thiết lập các tên miền giả nhằm giám sát hoạt động của botnet này.

Dữ liệu về lỗ hổng cho thấy rằng từ 2.000 đến 3.500 máy tính bị nhiễm được kết nối với máy chủ C2 hàng ngày trong suốt tháng 2 và tháng 3  trong năm vừa qua.

Theo các nhà nghiên cứu ESET, VictoryGate truyền qua các thiết bị di động như ổ USB, khi được kết nối với máy nạn nhân, chúng sẽ cài đặt một Payload độc hại vào hệ thống của nạn nhân.

Ngoài ra, mô-đun này cũng giao tiếp với máy chủ C2 để  tải về một Payload thứ cấp  và sau đó tiêm mã độc vào các tiến trình hợp pháp của hệ điều hành Windows, chẳng hạn như đưa phần mềm khai thác XMRig vào tiến trình ucsvc.exe (hoặc Tiện ích khởi động), điều này cũng nhằm tránh việc làm cho Botnet bị phát hiện. Do đó tạo điều kiện cho việc khai thác Monero.

“Từ dữ liệu thu thập được trong các hoạt động giám sát ngầm của chúng tôi, chúng tôi có thể xác định được rằng có trung bình khoảng 2.000 thiết bị đã được khai thác trong một ngày”, các nhà nghiên cứu cho biết. “Nếu chúng tôi ước tính tốc độ băm trung bình 150H / giây, chúng tôi có thể nói rằng những Hacker đã thu thập ít nhất 80 Monero (khoảng $6000) từ botnet này.”

Với các ổ USB được sử dụng như thiết bị phát tán mã độc, ESET đã cảnh báo về các nạn nhân mới có thể xảy ra trong tương lai. Nhưng với một lượng đáng kể cơ sở hạ tầng C2 ngầm, các bot sẽ không còn nhận được tải trọng thứ cấp. Tuy nhiên, những máy bị xâm nhập trước khi máy chủ C2 bị gỡ xuống vẫn sẽ tiếp tục khai thác Monero.

“Một trong những đặc điểm thú vị về VictoryGate là nó có những tính năng để tránh bị phát hiện so với những chiến dịch tương tự trước đây trong khu vực”, nhóm nghiên cứu kết luận.

“Do thực tế là botmaster có thể cập nhật tính năng của các Payload và thực thi trên các thiết bị đã bị nhiễm, chúng có thể linh hoạt chuyển  trạng thái từ khai thác tiền điện tử sang bất kỳ hoạt động độc hại nào khác, tại bất kỳ thời điểm nào, điều này rất nguy hiểm”

congdonglinux.com
         nguồn:
thehackernews.com