Một chiến dịch đào tiền mã hóa quy mô lớn đang nhắm đến các máy tính hiệu năng cao thông qua thủ đoạn “đầu độc” kết quả tìm kiếm (SEO poisoning), đồng thời lợi dụng cả các chatbot AI để phát tán mã độc, theo cảnh báo mới nhất từ các nhà nghiên cứu bảo mật của Microsoft.

Ảnh: Bleepingcomputer

Các chuyên gia cho biết, tin tặc đang nhắm đến nhóm người dùng sở hữu máy tính cấu hình mạnh - đối tượng thường cài đặt các công cụ giám sát và tối ưu phần cứng như CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack hay PDFgear.

Kịch bản tấn công bắt đầu khi người dùng tìm kiếm các phần mềm nói trên trên internet. Thay vì truy cập vào nguồn chính thống, họ có thể bị dẫn tới các liên kết độc hại, được đẩy lên vị trí cao trong kết quả tìm kiếm nhờ kỹ thuật “đầu độc” SEO. Đáng chú ý là một số báo cáo hồi tháng 4 còn cho thấy người dùng bị chuyển hướng tới các website giả mạo chứa phần mềm độc hại sau khi hỏi chatbot AI về nơi tải phần mềm.

Các chuyên gia cho biết trong nhiều trường hợp, chatbot AI đã đề xuất các liên kết dẫn tới những tên miền do kẻ tấn công kiểm soát ngay trong câu trả lời tạo ra, khiến người dùng dễ mất cảnh giác.

Tập tin tải về thường là 1 tập tin nén ZIP được lưu trữ trên 1 tên miền con của gleeze[.]com - tên miền từng bị ghi nhận liên quan đến hoạt động lừa đảo trực tuyến. Bên trong tập tin nén này chứa cả phần mềm hợp pháp và một thư viện DLL độc hại. Khi người dùng mở ứng dụng tưởng chừng an toàn, DLL này sẽ tự động được kích hoạt.

DLL độc hại sẽ tiếp tục sử dụng tiến trình msiexec.exe để cài đặt vcredist_x64.dll - thực chất là gói cài đặt công cụ điều khiển từ xa ScreenConnect. Nhờ đó, kẻ tấn công duy trì quyền truy cập dài hạn vào máy tính bị xâm nhập và có thể triển khai thêm nhiều thành phần độc hại khác.

Sau khi kết nối từ xa được thiết lập, tin tặc tiếp tục cài đặt thêm 1 tập tin có tên SimpleRunPE.exe, sau đó tự sao chép thành RuntimeHost.exe và chuyển tới 1 thư mục ẩn rất khó phát hiện trong Explorer. Thành phần này thiết lập ít nhất 6 cơ chế tự khởi động khác nhau trên Windows nhằm duy trì khả năng tồn tại sau mỗi lần khởi động lại máy.

Trong một số trường hợp, mã độc còn được phát tán thông qua tập lệnh PowerShell và được đổi tên thành vlc.exe để giả mạo trình phát đa phương tiện phổ biến VideoLAN, nhằm đánh lừa người dùng và công cụ bảo mật.

Để né tránh phát hiện, mã độc áp dụng kỹ thuật “process hollowing” - chiếm dụng các tiến trình Windows hợp pháp đã được ký số bởi Microsoft như InstallUtil.exe, RegAsm.exe, MSBuild.exe hay aspnet_compiler.exe để thực thi mã độc bên trong. Đồng thời, nó còn tự thêm mình vào danh sách ngoại lệ của Microsoft Defender bằng PowerShell.

Một lớp bảo vệ khác của mã độc là khả năng phát hiện môi trường máy ảo và khoảng 40 tiến trình liên quan tới các công cụ phân tích bảo mật. Nếu phát hiện dấu hiệu bị theo dõi, mã độc sẽ tự dừng hoạt động.

Sau khi hoàn tất quá trình ẩn mình, mã độc sẽ tải xuống 1 trong 3 công cụ đào tiền số gồm gminer, lolMiner hoặc SRBMiner-MULTI - đều là các phần mềm tận dụng sức mạnh của GPU (Bộ xử lý đồ họa) để khai thác tiền mã hóa.

Theo các nhà nghiên cứu, điểm đáng chú ý của chiến dịch này không nằm ở số lượng thiết bị lây nhiễm mà ở chiến lược tối ưu hóa lợi nhuận. Thay vì phát tán đại trà, nhóm tấn công tập trung vào các hệ thống có GPU mạnh nhằm tối đa hóa sản lượng đào tiền số trên mỗi máy tính bị chiếm quyền.

Các chuyên gia Microsoft khuyến nghị người dùng chỉ tải phần mềm từ nguồn chính thức, kiểm tra kỹ địa chỉ trang web trước khi tải xuống, hạn chế tin tưởng tuyệt đối vào gợi ý từ chatbot AI và thường xuyên cập nhật công cụ bảo mật để phát hiện sớm các dấu hiệu bất thường.

LÊ PHI (Theo Bleepingcomputer)