Darktrace cảnh báo chiến dịch cryptojacking mới có thể vượt qua Windows Defender Các chiến dịch cryptojacking thông qua kỹ thuật xã hội

Công ty an ninh mạng Darktrace đã xác định một chiến dịch cryptojacking mới được thiết kế để vượt qua Windows Defender và triển khai phần mềm đào tiền mã hóa.

Chiến dịch cryptojacking, lần đầu tiên được xác định vào cuối tháng 7, bao gồm một chuỗi lây nhiễm nhiều giai đoạn âm thầm chiếm dụng sức mạnh xử lý của máy tính để đào tiền mã hóa, các nhà nghiên cứu của Darktrace là Keanna Grelicha và Tara Gould giải thích trong một báo cáo chia sẻ với crypto.news.

Theo các nhà nghiên cứu, chiến dịch này nhắm mục tiêu cụ thể vào các hệ thống dựa trên Windows bằng cách khai thác PowerShell, trình shell dòng lệnh và ngôn ngữ kịch bản tích hợp của Microsoft, qua đó các tác nhân xấu có thể chạy các script độc hại và giành quyền truy cập đặc quyền vào hệ thống chủ.

Các script độc hại này được thiết kế để chạy trực tiếp trên bộ nhớ hệ thống (RAM) và do đó, các công cụ diệt virus truyền thống vốn thường dựa vào việc quét các tệp trên ổ cứng hệ thống sẽ không thể phát hiện quá trình độc hại này.

Sau đó, kẻ tấn công sử dụng ngôn ngữ lập trình AutoIt, một công cụ Windows thường được các chuyên gia IT sử dụng để tự động hóa các tác vụ, để chèn một trình tải độc hại vào một tiến trình Windows hợp pháp, tiến trình này sẽ tải xuống và thực thi chương trình đào tiền mã hóa mà không để lại dấu vết rõ ràng trên hệ thống.

Như một lớp phòng thủ bổ sung, trình tải được lập trình để thực hiện một loạt kiểm tra môi trường, chẳng hạn như quét các dấu hiệu của môi trường sandbox và kiểm tra hệ thống chủ xem có sản phẩm diệt virus nào đã được cài đặt hay không.

Việc thực thi chỉ tiếp tục nếu Windows Defender là biện pháp bảo vệ duy nhất đang hoạt động. Hơn nữa, nếu tài khoản người dùng bị nhiễm không có quyền quản trị, chương trình sẽ cố gắng vượt qua User Account Control để có quyền truy cập cao hơn.

Khi các điều kiện này được đáp ứng, chương trình sẽ tải xuống và thực thi NBMiner, một công cụ đào tiền mã hóa nổi tiếng sử dụng bộ xử lý đồ họa của máy tính để đào các loại tiền mã hóa như Ravencoin (RVN) và Monero (XMR).

Trong trường hợp này, Darktrace đã có thể kiểm soát cuộc tấn công bằng hệ thống Autonomous Response của mình bằng cách “ngăn thiết bị thực hiện các kết nối ra ngoài và chặn các kết nối cụ thể đến các điểm cuối đáng ngờ.”

“Khi tiền mã hóa tiếp tục phát triển về mức độ phổ biến, như đã thấy với giá trị vốn hóa thị trường tiền mã hóa toàn cầu vẫn ở mức cao (gần 4 nghìn tỷ USD tại thời điểm viết bài), các tác nhân đe dọa sẽ tiếp tục xem việc đào tiền mã hóa là một hoạt động sinh lợi,” các nhà nghiên cứu của Darktrace viết.

Các chiến dịch cryptojacking thông qua kỹ thuật xã hội

Vào tháng 7, Darktrace đã phát hiện một chiến dịch riêng biệt trong đó các tác nhân xấu sử dụng các chiến thuật kỹ thuật xã hội phức tạp, chẳng hạn như giả mạo các công ty thực tế, để lừa người dùng tải xuống phần mềm đã bị chỉnh sửa nhằm triển khai phần mềm độc hại đánh cắp tiền mã hóa.

Không giống như kế hoạch cryptojacking đã đề cập ở trên, phương pháp này nhắm vào cả hệ thống Windows và macOS và được thực hiện bởi chính các nạn nhân không biết gì, những người tin rằng họ đang tương tác với người trong công ty.