Công ty an ninh mạng Darktrace đã phát hiện một chiến dịch cryptojacking mới được thiết kế để vượt qua Windows Defender và triển khai phần mềm khai thác tiền điện tử.
Tóm tắt
Darktrace đã xác định một chiến dịch cryptojacking nhắm vào các hệ thống Windows.
Chiến dịch liên quan đến việc lén lút triển khai NBminer để khai thác tiền điện tử.
Chiến dịch cryptojacking, lần đầu tiên được phát hiện vào cuối tháng Bảy, liên quan đến một chuỗi lây nhiễm đa giai đoạn lén lút chiếm đoạt sức mạnh xử lý của máy tính để khai thác tiền điện tử, các nhà nghiên cứu của Darktrace Keanna Grelicha và Tara Gould giải thích trong một báo cáo được chia sẻ với crypto.news.
Theo các nhà nghiên cứu, chiến dịch này đặc biệt nhắm vào các hệ thống dựa trên Windows bằng cách khai thác PowerShell, ngôn ngữ dòng lệnh và kịch bản tích hợp sẵn của Microsoft, qua đó những kẻ xấu có thể chạy các kịch bản độc hại và có được quyền truy cập đặc quyền vào hệ thống máy chủ.
Các script độc hại này được thiết kế để chạy trực tiếp trên bộ nhớ hệ thống (RAM) và, do đó, các công cụ antivirus truyền thống thường dựa vào việc quét các tệp trên ổ cứng của hệ thống không thể phát hiện quá trình độc hại.
Sau đó, kẻ tấn công sử dụng ngôn ngữ lập trình AutoIt, một công cụ Windows thường được các chuyên gia CNTT sử dụng để tự động hóa các tác vụ, để tiêm một trình tải độc hại vào một quy trình Windows hợp pháp, sau đó tải xuống và thực thi một chương trình khai thác tiền điện tử mà không để lại dấu vết rõ ràng trên hệ thống.
Như một lớp phòng thủ bổ sung, bộ tải được lập trình để thực hiện một loạt các kiểm tra môi trường, chẳng hạn như quét dấu hiệu của môi trường sandbox và kiểm tra máy chủ để tìm các sản phẩm antivirus đã được cài đặt.
Việc thực hiện chỉ tiến hành nếu Windows Defender là biện pháp bảo vệ duy nhất đang hoạt động. Hơn nữa, nếu tài khoản người dùng bị nhiễm thiếu quyền quản trị, chương trình cố gắng vượt qua kiểm soát tài khoản người dùng để có được quyền truy cập nâng cao.
Khi các điều kiện này được đáp ứng, chương trình sẽ tải xuống và thực thi NBMiner, một công cụ khai thác tiền điện tử nổi tiếng sử dụng đơn vị xử lý đồ họa của máy tính để khai thác các loại tiền điện tử như Ravencoin (RVN) và Monero (XMR).
Trong trường hợp này, Darktrace đã có thể ngăn chặn cuộc tấn công bằng cách sử dụng hệ thống Phản hồi Tự động của mình bằng cách "ngăn chặn thiết bị thực hiện các kết nối ra ngoài và chặn các kết nối cụ thể đến các điểm cuối đáng ngờ."
“Khi tiền điện tử tiếp tục gia tăng độ phổ biến, như đã thấy với giá trị cao liên tục của vốn hóa thị trường tiền điện tử toàn cầu (gần 4 nghìn tỷ USD tại thời điểm viết ), các tác nhân đe dọa sẽ tiếp tục xem khai thác tiền điện tử như một hoạt động có lợi,” các nhà nghiên cứu của Darktrace viết.
Các chiến dịch cryptojacking thông qua kỹ thuật xã hội
Vào tháng Bảy, Darktrace đã phát hiện một chiến dịch riêng biệt mà các tác nhân xấu đang sử dụng các chiến thuật kỹ thuật xã hội phức tạp, chẳng hạn như mạo danh các công ty thực, để lừa người dùng tải xuống phần mềm bị thay đổi mà triển khai phần mềm độc hại ăn cắp tiền điện tử.
Khác với kế hoạch cryptojacking đã đề cập ở trên, phương pháp này nhắm vào cả hệ thống Windows và macOS và được thực hiện bởi chính những nạn nhân không hay biết, những người tin rằng họ đang tương tác với các nhân viên trong công ty.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Darktrace đã phát hiện ra một chiến dịch cryptojacking mới có khả năng vượt qua Windows Defender
Công ty an ninh mạng Darktrace đã phát hiện một chiến dịch cryptojacking mới được thiết kế để vượt qua Windows Defender và triển khai phần mềm khai thác tiền điện tử.
Tóm tắt
Chiến dịch cryptojacking, lần đầu tiên được phát hiện vào cuối tháng Bảy, liên quan đến một chuỗi lây nhiễm đa giai đoạn lén lút chiếm đoạt sức mạnh xử lý của máy tính để khai thác tiền điện tử, các nhà nghiên cứu của Darktrace Keanna Grelicha và Tara Gould giải thích trong một báo cáo được chia sẻ với crypto.news.
Theo các nhà nghiên cứu, chiến dịch này đặc biệt nhắm vào các hệ thống dựa trên Windows bằng cách khai thác PowerShell, ngôn ngữ dòng lệnh và kịch bản tích hợp sẵn của Microsoft, qua đó những kẻ xấu có thể chạy các kịch bản độc hại và có được quyền truy cập đặc quyền vào hệ thống máy chủ.
Các script độc hại này được thiết kế để chạy trực tiếp trên bộ nhớ hệ thống (RAM) và, do đó, các công cụ antivirus truyền thống thường dựa vào việc quét các tệp trên ổ cứng của hệ thống không thể phát hiện quá trình độc hại.
Sau đó, kẻ tấn công sử dụng ngôn ngữ lập trình AutoIt, một công cụ Windows thường được các chuyên gia CNTT sử dụng để tự động hóa các tác vụ, để tiêm một trình tải độc hại vào một quy trình Windows hợp pháp, sau đó tải xuống và thực thi một chương trình khai thác tiền điện tử mà không để lại dấu vết rõ ràng trên hệ thống.
Như một lớp phòng thủ bổ sung, bộ tải được lập trình để thực hiện một loạt các kiểm tra môi trường, chẳng hạn như quét dấu hiệu của môi trường sandbox và kiểm tra máy chủ để tìm các sản phẩm antivirus đã được cài đặt.
Việc thực hiện chỉ tiến hành nếu Windows Defender là biện pháp bảo vệ duy nhất đang hoạt động. Hơn nữa, nếu tài khoản người dùng bị nhiễm thiếu quyền quản trị, chương trình cố gắng vượt qua kiểm soát tài khoản người dùng để có được quyền truy cập nâng cao.
Khi các điều kiện này được đáp ứng, chương trình sẽ tải xuống và thực thi NBMiner, một công cụ khai thác tiền điện tử nổi tiếng sử dụng đơn vị xử lý đồ họa của máy tính để khai thác các loại tiền điện tử như Ravencoin (RVN) và Monero (XMR).
Trong trường hợp này, Darktrace đã có thể ngăn chặn cuộc tấn công bằng cách sử dụng hệ thống Phản hồi Tự động của mình bằng cách "ngăn chặn thiết bị thực hiện các kết nối ra ngoài và chặn các kết nối cụ thể đến các điểm cuối đáng ngờ."
“Khi tiền điện tử tiếp tục gia tăng độ phổ biến, như đã thấy với giá trị cao liên tục của vốn hóa thị trường tiền điện tử toàn cầu (gần 4 nghìn tỷ USD tại thời điểm viết ), các tác nhân đe dọa sẽ tiếp tục xem khai thác tiền điện tử như một hoạt động có lợi,” các nhà nghiên cứu của Darktrace viết.
Các chiến dịch cryptojacking thông qua kỹ thuật xã hội
Vào tháng Bảy, Darktrace đã phát hiện một chiến dịch riêng biệt mà các tác nhân xấu đang sử dụng các chiến thuật kỹ thuật xã hội phức tạp, chẳng hạn như mạo danh các công ty thực, để lừa người dùng tải xuống phần mềm bị thay đổi mà triển khai phần mềm độc hại ăn cắp tiền điện tử.
Khác với kế hoạch cryptojacking đã đề cập ở trên, phương pháp này nhắm vào cả hệ thống Windows và macOS và được thực hiện bởi chính những nạn nhân không hay biết, những người tin rằng họ đang tương tác với các nhân viên trong công ty.