Người ta đã phát hiện ra rằng bản cập nhật Adobe Flash giả đang được sử dụng để giấu mã độc (malware) đào tiền điện tử trên máy tính và trên mạng, tạo ra tổn thất nghiêm trọng về thời gian, hiệu năng hệ thống và mức tiêu thụ điện khiến cho người dùng bị ảnh hưởng.
Cryptojacking đã lên một tầm cao mới
Trong khi các bản cập nhật Flash giả đẩy phần mềm độc hại theo phương pháp truyền thống thì rất dễ dàng bị phát hiện thì các hackers đã sử dụng một số thủ thuật tinh vi hơn để tải các trình duyệt đào tiền điện tử trên các hệ thống Windows một cách lén lút.
Trong một bài viết “bóc phốt’ mánh khoé cryptojacking này, một nhà phân tích tình báo Brad Duncan của Unit 42 viết:
“Đầu tháng 8 năm 2018, một số hình thức giả mạo bản cập nhật Flash đã bắt chước luôn cả bản thông báo pop-up từ bản cài đặt Adobe chính thức. Các bản cập nhật Flash giả này cài đặt các chương trình không mong muốn như phần mềm khai thác tiền điện tử XMRig, nhưng phần mềm độc hại này cũng có thể cập nhật Flash Player của nạn nhân lên phiên bản mới nhất.”
Kết cục của việc này là nạn nhân tiềm năng có thể không nhận thấy bất cứ điều gì bất thường trong khi một phần mềm đào tiền điện tử có tên là XMRig hoặc một chương trình được cài đặt ngoài ý muốn đang âm thầm chạy trên máy tính hệ điều hành Windows của nạn nhân. Phần mềm đào có khả năng làm chậm bộ xử lý máy tính, làm hỏng ổ cứng hoặc trích xuất dữ liệu bí mật và truyền dữ liệu đó sang các nền tảng kỹ thuật số khác mà không có sự đồng ý của nạn nhân.
Chi tiết kỹ thuật của phần mềm độc hại Cryptojacking giả mạo bản cập nhật Adobe
Duncan giải thích rằng không rõ các nạn nhân có thể truy cập đến các URL được cung cấp trong các bản cập nhật Flash giả này như thế nào; tuy nhiên, lưu lượng mạng trong quá trình này chủ yếu liên quan đến các cập nhật Flash giả mạo. Thật thú vị, máy chủ Windows bị nhiễm tạo ra một yêu cầu HTTP POST cho [osdsoft [.] Com], một miền liên kết với các trình cập nhật hoặc trình cài đặt đẩy các trình khai thác tiền điện tử.
Ông cho biết trong khi nhóm nghiên cứu tìm kiếm các bản cập nhật Flash giả cụ thể, quan sát cho thấy một số tệp thi hành Windows có tên bắt đầu bằng Adobe Flash Player từ các máy chủ web không có trên nền tảng đám mây. Các bản tải xuống này thường có chuỗi “flashplayer_down.php? Clickid =” trong URL. Các nhóm cũng đã tìm thấy 113 ví dụ về phần mềm độc hại đáp ứng các tiêu chí này từ tháng 3 năm 2018 trong AutoFocus. 77 trong số các mẫu phần mềm độc hại này được xác định bằng thẻ CoinMiner trong Tự động lấy nét. 36 mẫu còn lại chia sẻ các thẻ khác với 77 tệp thực thi liên quan đến CoinMiner.
Duncan khuyến khích người dùng Windows thận trọng hơn về loại cập nhật Adobe Flash mà cài đặt, ông nói rằng trong khi các tính năng cập nhật và cập nhật Adobe làm cho trình cài đặt giả mạo có vẻ hợp pháp hơn, các nạn nhân vẫn sẽ nhận được các dấu hiệu cảnh báo về việc chạy tải xuống tệp trên máy tính Windows của họ.
Theo lời ông nói rằng:
Các tổ chức có bộ lọc web đàng hoàng và người dùng có kiến thức thì sẽ giảm thiểu rủi ro lây nhiễm bởi các bản cập nhật giả mạo này.
Theo Cointelegraph
