Thậm chí, công cụ khai thác này còn được tìm thấy đang chạy quảng cáo trên Youtube thông qua nền tảng DoubleClick của Google và lây lan đến hơn 200.000 thiết bị tại Brazil.

Như các báo cáo trước đây, các hacker luôn có nhiều cách khác nhau để lét lút cài đặt mã độc khai thác tiền điện tử trên máy tính của người dùng mà họ không hề hay biết thủ thuật này được gọi chung là Cryptojacking – chúng sẽ dùng chính tài nguyên, cấu hình từ máy tính của người sử dụng và tiến hành đào tiền ảo mà không cần bất kì sự cho phép hay đồng ý từ chủ sở hữu.

Lần này, các chuyên gia bảo mật từ Trend Micro xác nhận những kẻ tấn công đã khai thác lỗ hổng bảo mật từ máy chủ Oracle WebLogic và cài đặt phần mềm độc hại khai thác đồng tiền ảo Monero (gọi tắt là XMR), đồng thời ẩn thân như một dạng mã hóa gây khó khăn cho các chuyên gia an tinh mạng khi tìm hiểu định dạng.

Ngay khi có thông tin từ Trend Micro, một bản vá cho lổ hổng bảo mật cho máy chủ Oracle WebLogic (“CVE-2019-2725”) đã được cập nhật và theo báo cáo đó là lỗi trong quá trình giải mã định dạng dữ liệu.

Trend Micro cũng đã trích dẫn thêm từ các báo cáo từ diễn đàn SANS ISC InfoSec thật chất lỗ hổng này đã bị khai thác từ rất lâu và cũng đã tiến hành thủ thuật lén đào tiền ảo từ máy tính người dùng. Trend Micro đã tiến hành xác nhận những thông tin khác từ diễn đàn và phân tích các báo cáo từ các thành viên diễn đàn.

“Thực chất, dạng tấn công giả mạo các chứng chỉ an toàn không phải là mới, các Hacker chỉ sử dụng kiểu ngụy trang này cho các cuộc tấn công ẩn danh, bạn hoàn toàn có thể tránh khỏi được chúng với điều kiện thiết lập an toàn với các chứng chỉ như HTTPs”, chuyên gia Trend Micro cho biết.

Trend Micro cũng đã phân tích sâu hơn và phát hiện ra các phần mềm độc hại thường thông qua PowerShell để khai thác CVE-2019-2725 từ đó thực thi các hành vi đào tiền ảo XMR. Kèm theo đó là các báo cáo mới về loại mã độc này cho người dùng từ các chuyên gia của Trend Micro:

“ Khi nghiên cứu sâu hơn về mã độc mới này, chúng tôi nhận ra các tệp độc hại khác tiếp tục được tải xuống mà không cần ẩn danh định dạng như đề cập trước đó của chúng tôi. Điều này làm chúng tôi hoài nghi rằng đoạn code mã độc được mã hóa có thể là 1 chiêu “Dương đông kích tây” tiếp theo mà các Hacker đang cố tình tạo ra cho mục đích phát tán mã độc.

Cũng trong thông báo này, Trend Micro phát hiện ra mã độc đào tiền ảo XMR đã “tiến hóa” vượt bậc đặc biệt là ở thị trường cày tiền ảo ở Trung Quốc ở mùa Xuân vừa qua, như các bạn đã biết Trung Quốc luôn là thị trường béo bở với lượng người sử dụng máy tính vượt trội, do đó các hacker lây lan mã độc tại đây sẽ tha hồ thu lợi.

Hãng bảo mật cũng kiến nghị các công ty đang sử dụng máy chủ Oracle WebLogic phải cập nhật phần mềm bảo mật lên phiên bản mới nhất, từ đó để tăng thêm mức độ bảo mật cho máy chủ đồng thời ngăn chặn được các nguy cơ thất thoát về tiền điện tử cũng như tài nguyên máy tính của doanh nghiệp.

Hãy lưu ý những triệu chứng máy tính như:

– Phần trăm CPU usage được sử dụng nhiều hơn bình thường.

– Quạt làm mát chạy phát ra tiếng ồn như đang chạy chương trình xử lý nặng.

– Máy tính chậm hẳn mà không rõ nguyên do.

– Ram bị chiếm dụng nhiều hơn các ứng dụng đang mở.

Nếu máy tính đang có những dấu hiệu trên đừng bỏ qua mối lo ngại thiết bị của bạn đang bị hacker chiếm dụng để “phục vụ” cho mục đích trục lợi cá nhân hay đào tiền ảo. Lưu ý thêm, vấn đề này sẽ được xử lý khi bạn thường xuyên cập nhật phiên bản bảo mật và tuyệt đối không bao giờ tắt tự động cập nhật nhé.

# 60% hệ thống mạng cơ quan, doanh nghiệp bị nhiễm mã độc đào tiền ảo

Theo nghiên cứu của Bkav, có tới hơn 60% cơ quan, doanh nghiệp tại Việt Nam bị nhiễm mã độc đào tiền ảo. Trung bình cứ 10 cơ quan, doanh nghiệp, có 6 nơi bị mã độc chiếm quyền điều khiển máy tính đào tiền ảo, gây mất an ninh thông tin.

Phân tích tình trạng mã độc đào tiền ảo tràn lan, theo các chuyên gia của Bkav, nguyên nhân chính là do các cơ quan, doanh nghiệp chưa trang bị giải pháp diệt virus tổng thể, đồng bộ cho tất cả các máy tính trong mạng nội bộ. Do đó, chỉ cần một máy tính trong mạng bị nhiễm mã độc, toàn bộ các máy tính khác trong cùng mạng sẽ bị mã độc tấn công, lây nhiễm.

Ngoài việc làm chậm máy, mã độc đào tiền ảo còn có khả năng cập nhật và tải thêm các mã độc khác nhằm xoá dữ liệu, ăn cắp thông tin cá nhân hay thậm chí thực hiện tấn công có chủ đích APT.

# 1,6 triệu máy tính bị virus xóa dữ liệu

Theo thống kê từ hệ thống giám sát virus của Bkav, hơn 1,6 triệu lượt máy tính tại Việt Nam bị mất dữ liệu trong năm 2018. Bên cạnh đó, hơn 46% người sử dụng tham gia chương trình đánh giá an ninh mạng của Bkav cũng cho biết, họ đã từng gặp rắc rối liên quan tới mất dữ liệu trong năm qua.

Theo Bkav, hiện có 2 dòng mã độc phổ biến tại Việt Nam khiến người dùng bị mất dữ liệu là dòng mã độc mã hóa tống tiền ransomware và dòng virus xóa dữ liệu trên USB. Các mã độc mã hóa tống tiền lây chủ yếu qua email, tuy nhiên có tới 74% người dùng tại Việt Nam vẫn giữ thói quen mở trực tiếp file đính kèm từ email mà không thực hiện mở trong môi trường cách ly an toàn Safe Run, điều này rất nguy hiểm.

Trong khi đó, do USB là phương tiện trao đổi dữ liệu phổ biến nhất tại Việt Nam nên số máy tính bị nhiễm mã độc lây qua USB luôn ở mức cao. Thống kê của Bkav cho thấy, có tới 77% USB tại Việt Nam bị nhiễm mã độc ít nhất 1 lần trong năm.

# Chiêu thức “comment dạo” để lấy trộm tài khoản Facebook

Năm 2018 nổi lên hiện tượng lấy cắp tài khoản Facebook thông qua các comment dạo (bình luận). Theo nghiên cứu của Bkav, hơn 83% người sử dụng mạng xã hội Facebook đã gặp các comment kiểu này.

Chuyên gia Bkav phân tích, kẻ xấu đã dùng các tài khoản Facebook với hình đại diện là các hotgirl xinh đẹp, sexy để comment vào các bài viết hoặc group đông người quan tâm. Các nội dung comment thường rất hấp dẫn, mời gọi như: “chat với em không”, “kết bạn với em nhé”, “làm quen nha anh”…

Nếu tò mò bấm vào xem trang cá nhân của tài khoản “bẫy” này, nạn nhân có thể bị lừa mất tài khoản Facebook. Để phòng tránh, người dùng tuyệt đối không bấm vào đường link đến từ những người chưa tin tưởng. Ngay cả khi link được gửi từ bạn bè, người dùng cũng cần chủ động kiểm tra lại thông tin trước khi bấm xem.

# Lỗ hổng an ninh mạng tăng đột biến về số lượng

Trong hai năm 2017 và 2018, số lượng lỗ hổng an ninh trong các phần mềm, ứng dụng được công bố tăng đột biến với hơn 15.700 lỗ hổng, gấp khoảng 2,5 lần những năm trước đó. Đặc biệt, nhiều lỗ hổng nghiêm trọng xuất hiện trên các phần mềm phổ biến như Adobe Flash Player, Microsoft Windows… và cả trong nhiều dòng CPU của Intel, Apple, AMD…

Mặc dù bản vá an ninh đều nhanh chóng được các nhà sản xuất công bố sau khi lỗ hổng xuất hiện, nhưng việc cập nhật bản vá lại chưa kịp thời, thậm chí nhiều năm sau đó vẫn chưa được cập nhật. Điển hình như lỗ hổng SMB, sau 2 năm vẫn có tới hơn 50% máy tính tại Việt Nam chưa được vá lỗ hổng này.

Đây là lỗ hổng từng bị khai thác bởi mã độc mã hóa tống tiền WannaCry, lây nhiễm hơn 300.000 máy tính trên thế giới trong vài giờ. Việc cập nhật bản vá chưa kịp thời tạo điều kiện cho hacker lợi dụng lỗ hổng để tấn công hệ thống mạng, từ đó lây nhiễm virus, cài cắm phần mềm gián điệp, thực hiện tấn công có chủ đích APT.

Bkav khuyến cáo, bên cạnh giải pháp phòng chống mã độc tổng thế, các cơ quan, doanh nghiệp cần trang bị giải pháp kiểm soát chính sách an ninh, đảm bảo các máy tính trong hệ thống cập nhật đầy đủ bản vá lỗ hổng phần mềm để tránh nguy cơ bị khai thác. Người dùng nên bật chế độ tự động update và thực hiện kiểm tra, cài đặt các bản vá cho máy tính của mình.

Đây là chương trình hoàn toàn miễn phí được Cục An toàn Thông tin (Bộ Thông tin và Truyền thông) và Tập đoàn công nghệ Bkav phối hợp tổ chức. Ngay từ 12/4, các cơ quan, đơn vị, doanh nghiệp trên toàn quốc có thể đăng ký tham gia tại địa chỉ WhiteHat.vn/DangKy.

Liên tiếp trong các năm 2017, 2018, cộng đồng mạng chứng kiến sự bùng nổ của mã độc đào tiền ảo. Các hình thức tấn công phổ biến được hacker sử dụng là khai thác lỗ hổng website, khai thác lỗ hổng phần mềm và lợi dụng mạng xã hội để phát tán virus. Tháng 3/2018, hàng trăm nghìn máy tính tại Việt Nam bị nhiễm W32.AdCoinMiner, virus phát tán qua dịch vụ quảng cáo trực tuyến. Đặc biệt, mã độc này có khả năng lây nhiễm các máy tính trong cùng mạng qua lỗ hổng phần mềm SMB mà mã độc tống tiền WannaCry đã khai thác, lây nhiễm hơn 300.000 máy tính chỉ trong vài giờ. Theo thống kê của Bkav, có tới hơn một nửa số máy tính tại Việt Nam tồn tại lỗ hổng này.

Chia sẻ về chủ đề của chương trình Diễn tập, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết: “Nguồn lợi hấp dẫn từ tiền ảo mang lại là động cơ phát tán virus của hacker. Tình trạng này sẽ còn tiếp diễn trong thời gian tới với cường độ ngày càng cao, đặc biệt là việc khai thác các lỗ hổng phần mềm để phát tán mã độc. Đó là lý do chúng tôi chọn mã độc đào tiền ảo làm chủ đề diễn tập lần này”.

Trong WhiteHat Drill 05, Cục An toàn Thông tin phối hợp với Bkav xây dựng kịch bản diễn tập đồng thời tham gia điều phối chương trình. Chia sẻ về việc đồng tổ chức WhiteHat Drill 05, ông Nguyễn Huy Dũng, Phó cục trưởng Cục An toàn Thông tin (Bộ TT&TT) cho biết: “Cục An toàn Thông tin luôn đồng hành cùng các tổ chức, doanh nghiệp và cộng đồng trong việc bảo đảm ATTT tại Việt Nam. Cục hoan nghênh và đánh giá cao Bkav trong việc định kỳ tổ chức các cuộc diễn tập với chủ đề hàng năm thay đổi cho phù hợp với những xu hướng, nguy cơ, rủi ro mới. Đây cũng là một trong những hợp tác hiệu quả giữa cơ quan nhà nước và doanh nghiệp trong công tác bảo đảm ATTT”.

Diễn tập An toàn thông tin mạng WhiteHat Drill 05 bao gồm các tình huống mô phỏng kịch bản hệ thống bị cài mã độc đào tiền ảo qua lỗ hổng phần mềm. Tham dự diễn tập các đội phải cô lập hiện trường, tránh mã độc lây lan rộng hơn, phân tích mã độc để xác định nguồn gốc cuộc tấn công. Tiếp đến, các đội cần xác định chính xác lỗ hổng bị khai thác, vá lỗ hổng để tránh hacker tấn công trở lại.

Chương trình sẽ diễn ra trực tuyến trên hệ thống Wargame 2.0 của Diễn đàn WhiteHat.vn từ 14h00 đến 17h00 ngày 09/05. Các cơ quan, đơn vị, doanh nghiệp có thể đăng ký tham gia WhiteHat Drill 05 tại địa chỉ WhiteHat.vn/DangKy trước 00h00 ngày 05/05.

Diễn tập An toàn thông tin mạng được Cục An toàn Thông tin và Tập đoàn Bkav tổ chức thường xuyên với các chủ đề và nội dung khác nhau như: Xử lý và phòng chống mã độc tống tiền; Rà soát và xử lý phần mềm gián điệp trên máy tính; Phòng chống tấn công từ chối dịch vụ, tấn công khai thác lỗ hổng website…

Theo các chuyên gia an ninh tại Sucuri thì họ vừa phát hiện tiếp một chiến dịch tấn công trực tiếp vào các trang WordPress cực kỳ nguy hiểm mà hacker có thể tận dụng nó để lưu lại các thao tác bàn phím của khách hàng cũng như có thể tận dụng máy tính khách hàng để đào tiền ảo. Và mã độc lần này cũng liên quan đến Coinhive.

Trước đó hồi tháng 11/2017 cũng đã có thông tin về mã độc này, Coinhive đã ẩn mình trên các website Việt Nam để chờ những “thợ đào Bitcoin” và các loại tiền ảo, tiền điện tử tương tự. Khi người dùng truy cập vào trang web, thư viện mã Coinhive sẽ tự động chạy trên máy tính người dùng dưới dạng tiện ích mở rộng hoặc trực tiếp trong trình duyệt nhằm mục đích “đào” tiền ảo Bitcoin, Monero… bằng cách sử dụng trái phép tài nguyên của người dùng như CPU, ổ cứng, bộ nhớ… và gửi về ví điện tử của tin tặc.

Ngoài việc đào tiền ảo thì Sucuri đã phát hiện nếu trang web WordPress bị nhiễm là nền tảng thương mại điện tử, tin tặc có thể ăn cắp nhiều dữ liệu có giá trị hơn, bao gồm dữ liệu thẻ tín dụng. Dấu hiệu để nhận biết Coinhive vẫn như cũ. Dấu hiệu nhận biết gồm các từ khóa trong mã nguồn website coinhive.com, coinhive, coin-hive, coinhive.min.js, authedmine.com, authedmine.min.js. Khi phát hiện website bị chèn các mã khai thác như đã nêu trên, cần rà soát và kiểm tra lại lỗ hổng trên máy chủ, lỗ hổng trên website, kiểm tra các tài khoản…  Sucuri cũng phát hiện nhóm hacker này đã đăng ký thêm một số tên miền mới bao gồm cdjs[.]online, cdns[.]ws và msdns[.]online.

Theo TheHackerNews

Năm 2017 chứng kiến sự tăng giá chóng mặt của các đồng tiền ảo, tạo cơn sốt trên toàn cầu. Điều này cũng đã thúc đẩy hacker gia tăng mạng mẽ các hình thức tấn công nhằm biến máy tính người dùng thành công cụ đào tiền ảo. Hiện có 2 hình thức tấn công phổ biến nhất được hacker sử dụng là khai thác lỗ hổng website và lợi dụng mạng xã hội để phát tán virus.

Hacker thường chọn các website có nhiều người sử dụng để tấn công và cài mã độc có chức năng đào tiền ảo lên đó. Khi người dùng truy cập vào các website này, mã độc sẽ được kích hoạt. Với hơn 40% website tại Việt Nam tồn tại lỗ hổng có thể bị xâm nhập, khai thác, đây sẽ là đích nhắm của hacker trong việc phát tán mã độc đào tiền ảo.

Với hình thức thứ hai là hacker phát tán virus đào tiền ảo thông qua mạng xã hội. Sau khi lây nhiễm, mã độc sẽ âm thầm sử dụng tài nguyên của máy nạn nhân để chạy các chương trình đào tiền. Gần đây nhất, mã độc lây qua Facebook bùng phát từ ngày 19/12 và làm “náo loạn” Internet tại Việt Nam.

Ông Vũ Ngọc Sơn – Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) của Bkav nhận định: “Động cơ của hacker rất rõ ràng: lây nhiễm virus vào các máy tính nhiều nhất có thể để phục vụ mục đích đào tiền ảo. Nguy hiểm hơn, mã độc còn cài sẵn chức năng lấy cắp mật khẩu Facebook”.

Ban đầu virus này phát tán qua Facebook Messenger, núp bóng dưới dạng một video giả mạo. Nếu mở file giả mạo, máy tính sẽ bị nhiễm mã độc, chiếm quyền điều khiển và bị lợi dụng để đào tiền ảo, máy tính của nạn nhân luôn trong tình trạng giật lag và gần như không thể sử dụng.

Không dừng lại đó, hacker đã thêm vào biến thể mới nhất của mã độc khả năng đăng bài lên các Nhóm (Group). Virus sử dụng tài khoản của nạn nhân để đăng video giả mạo chứa mã độc kèm theo nội dung mời gọi như “woow hot video”. Tập tin kèm theo có định dạng tiêu đề sex_video_xxxx.zip, với xxxx là 4 số ngẫu nhiên. Điều này khiến số lượng nạn nhân tăng lên nhanh chóng theo cấp số nhân.

Thống kê từ hệ thống giám sát virus của Bkav cho thấy, cứ 10 phút, hacker lại tung lên mạng một biến thể virus mới nhằm tránh bị phát hiện bởi các phần mềm an ninh. Theo chuyên gia của Bkav, đã có hơn 41.000 máy tính tại Việt Nam nhiễm loại mã độc này và đang còn tiếp tục gia tăng mạnh. Trong thời gian tới, hình thức đào tiền ảo bằng cách phát tán virus có xu hướng tiếp tục bùng nổ thông qua Facebook, email, qua lỗ hổng hệ điều hành, USB.

Người dùng được khuyến cáo nên ngay lập tức diệt virus và đổi mật khẩu tài khoản Facebook. Cảnh giác khi nhận được file gửi qua Facebook Messenger, file chia sẻ trên Group, tốt nhất nên mở file trong môi trường cách ly an toàn (Safe Run) để tránh bị nhiễm mã độc.