Hacker sử dụng NSA để lây nhiễm virus cho máy tính sử dụng Windows

243

 

Một báo cáo mới đưa ra cho biết, các hacker sử dụng phần mềm độc hại NSA để lây nhiễm cho các máy tính chạy Windows với lỗi khai thác cryptocurrency. Virus này ác định các nguồn có sẵn trên máy tính của nạn nhân có thể được sử dụng để bắt đầu khai thac XMR (Monero).

Bleeping Computer đã thông báo rằng các tác giả phần mềm độc hại đang sử dụng một lỗ hổng bảo mật NSA để lây nhiễm cho các máy tính chạy Windows bằng một trojan xác định các tài nguyên sẵn có để chuyển hướng sang khai thác Monero (XMR), một cryptocurrency thay thế cho sự bảo mật.

Trojan này lần đầu tiên được báo cáo bởi Dr.Web của Nga, người phát hiện ra loại virus này với tên chung là Trojan.BTCMine.1259. Trojan này đã được xác định là sử dụng công cụ hacker NSA có tên Doublepulsar để lây nhiễm cho các máy tính đang chạy các dịch vụ SMB (Server Message Block) không an toàn – một giao thức mạng được sử dụng chủ yếu để chia sẻ truy cập vào các tệp, máy in và cổng nối tiếp.

Sau khi bị nhiễm, phần mềm độc hại tạo ra một backdoor đơn giản cho phép các hacker thực hiện mã trên máy. Sau đó, các hacker sử dụng để khai thác Doublepulsar của NSA để tải về phần mềm độc hại chung vào máy bị nhiễm. Virus sẽ quét máy tính để xác định xem nó có đủ nguồn lực để thực hiện tải trọng của nó hay không. Nếu nói rằng các nguồn lực sẵn có, một trình tải phần mềm độc hại chung sẽ tải xuống một cách bí mật, bắt đầu khai thác mỏ XMR và chuyển hướng XMR tới ví của hacker. Các chuyên gia cũng lưu ý rằng trojan có thể tự đóng cửa khi một chủ sở hữu PC khởi chạy tiện ích Task Manager, cho phép phần mềm độc hại vẫn không bị phát hiện khi đang hoạt động.

Trojan.BtcMine.1259 không phải là virus liên kết cryptocurrency đầu tiên đã được xây dựng bằng khai thác DOUBLEPULSAR. Một loại virus tương tự được gọi là Eternalminer đã được phát hiện vào tuần trước, nhằm vào các máy chủ Linux để khai thác mỏ XMR. Wannacry, chương trình ransomware gần đây đã phá hoại các doanh nghiệp và các tổ chức trên toàn cầu, cũng đã kết hợp Doublepulsar vào giao thức của nó.

Doublepulsar đã được hãng Shadow Brokers đưa ra vào tháng 4 năm 2017, dẫn tới các báo cáo rằng hơn 36.000 máy tính đã bị nhiễm các loại virus khác nhau sử dụng khai thác vào ngày 21 tháng 4, với các chuyên gia cho biết số máy bị nhiễm có thể đã đạt đến đỉnh điểm tại gần 100.000 máy Windows vào cuối tháng 4. Số lượng máy tính bị nhiễm được ước tính gần 16.000, do hệ thống Windows cập nhật MS17-010.

TheCoindesk.com

Rate this post

BÌNH LUẬN

Please enter your comment!
Please enter your name here