Điểm tin

Phát hiện mã độc Dexphot lây nhiễm gần 80.000 máy tính

| Theo TNO

Một chủng phần mềm độc hại mới lây nhiễm các máy tính Windows có tên Dexphot kể từ tháng 10/2018 vừa được phát hiện, với đỉnh điểm vào tháng 6 khi số lượng máy tính bị nhiễm lên đến gần 80.000.

Theo ZDNet, Dexphot là một phần mềm độc hại phức tạp được các tin tặc dùng để đào tiền ảo và kiếm tiền cho những kẻ tấn công mà không đánh cắp dữ liệu người dùng. Tuy nhiên, việc sử dụng tài nguyên hệ thống để phục vụ mục tiêu của tin tặc khiến thiết bị Windows chạy chậm đi rất nhiều.

Các chuyên gia bảo mật tại Microsoft cho biết, phần mềm độc hại này bắt đầu với việc tác động xấu vào hai quy trình hợp pháp của Windows là svchost.exe và nslookup.exe. Sau đó, Dexphot chạy các nhiệm vụ để khiến hệ thống nạn nhân bị nhiễm cứ sau 90 phút.

Nhà phân tích phần mềm độc hại đến từ nhóm Microsoft Defender ATP, Hazel Kim, cho biết Dexphot không phải là kiểu tấn công tạo ra sự chú ý của truyền thông chính thống. Đây là một trong vô số các chiến dịch triển khai phần mềm độc hại được tin tặc sử dụng, với mục tiêu chính là cài đặt một công cụ đào tiền ảo, âm thầm lấy tài nguyên hệ thống và mang lại doanh thu cho những kẻ tấn công. Microsoft khẳng định nhiệm vụ mà Dexphot được đưa ra chỉ duy nhất là biến hệ thống bị nhiễm trở thành máy đào tiền ảo cho những kẻ phát minh ra chúng.

Điểm đáng chú ý của Dexphot là phần mềm độc hại này có khả năng “ngụy trang đa hình hóa”, có thể thay đổi tên tập tin trên máy tính cứ sau 20-30 phút lần. Chính sự phức tạp này làm cho máy tính Windows dễ bị tổn thương hơn về các khía cạnh không gian mạng.

Microsoft cho biết, Dexphot được trang bị 5 tập tin: 2 trình cài đặt URL và 3 tập tin được mã hóa. Vì tất cả các quy trình đều hợp pháp, ngoại trừ quá trình cài đặt, nên việc khôi phục rất khó khăn. Hơn nữa, Dexphot được sử dụng để làm việc trên các máy tính đã bị nhiễm phần mềm độc hại khác trước đó khiến vấn đề trở nên phức tạp hơn.

Mô tả cách thức hoạt động của Dexphot

Theo dự đoán của Microsoft, Dexphot có thể gây hại cho một số quy trình quan trọng khác như svchost.exe, tracert.exe và setup.exe. Hơn nữa, phần mềm độc hại này cũng sẽ sử dụng một kỹ thuật có tên “living off the land” (tạm dịch: sống trên đất liền) để lạm dụng các quy trình hợp pháp của Windows và thực thi mã độc thay vì chạy các quy trình riêng. Microsoft cho rằng Dexphot có thể sử dụng unzip.exe, powersrc.exe… cho mục đích của mình.

Mặc dù Dexphot có các cơ chế hoạt động bền bỉ mạnh mẽ nhưng nhờ vào những nỗ lực và chính sách liên quan của Microsoft, số vụ tấn công bởi phần mềm độc hại này đã liên tục giảm kể từ khi đạt đỉnh vào tháng 6.