Hai botnet trên các máy tính bị nhiễm phần mềm độc hại vừa được phát hiện. Trước đó, chúng cài đặt âm thầm những phần mềm đào tiền ảo hợp pháp được sử dụng để tạo tiền ảo (“mine”) dựa trên công nghệ blockchain và mang lại hàng trăm ngàn USD cho nhóm đối tượng tội phạm mạng.
Theo báo cáo của nhóm nghiên cứu Anti-Malware của Kaspersky Lab vừa công bố, trong một trường hợp cụ thể, các nhà nghiên cứu đã ước tính rằng một mạng lưới 4.000 máy có thể mang đến cho các chủ sở hữu lên tới 30.000 USD/tháng. Trong một trường hợp khác, các nhà nghiên cứu đã chứng kiến nhóm tội phạm đã kiếm được hơn 200.000 USD từ mạng botnet với 5.000 PC.
Cấu trúc của Bitcoin và các tiền ảo khác cho thấy ngoài việc mua tiền ảo, người dùng còn có thể tạo ra một đơn vị tiền tệ mới (hoặc coin) bằng cách sử dụng công suất tính toán của các máy có cài đặt phần mềm chuyên “đào tiền”. Đồng thời, theo khái niệm về tiền ảo, càng nhiều coin được sản xuất sẽ cần nhiều thời gian và công suất tính toán hơn để tạo ra coin mới.
Cách đây vài năm, phần mềm độc hại được cài đặt “thợ đào” Bitcoin một cách thầm lặng (sử dụng máy tính nạn nhân để đào tiền ảo cho tội phạm mạng) là một điều phổ biến. Nhưng càng có nhiều Bitcoins được khai thác thì càng khó để đào được những coin mới – và vào một thời điểm nào đó quy trình thậm chí trở nên vô dụng: lợi ích tài chính tiềm năng mà một tội phạm mạng có thể nhận được từ việc đào bitcoin sẽ không đủ so với sự đầu tư mà chúng sẽ cần phải đưa vào việc tạo ra và phân phối phần mềm độc hại, cũng như hỗ trợ cơ sở hạ tầng phụ trợ bắt buộc.
Tuy nhiên, giá của Bitcoin – tiền ảo đầu tiên và nổi tiếng nhất – đã tăng vọt trong vài năm gần đây từ hàng trăm đến hàng nghìn đô la cho mỗi đồng xu, tạo nên một cơn sốt tiền ảo thực sự trên khắp thế giới. Hàng trăm nhóm người và các công ty mới thành lập đã bắt đầu phát hành các lựa chọn Bitcoin của mình, nhiều trong số đó cũng đã đạt được một giá trị thị trường đáng kể trong một khoảng thời gian tương đối ngắn.
Những thay đổi trên thị trường tiền ảo này chắc chắn sẽ thu hút được sự chú ý của bọn tội phạm mạng, hiện đang quay trở lại với các chương trình gian lận, trong đó chúng bí mật cài đặt phần mềm đào tiền ảo trên hàng nghìn máy tính cá nhân.
Dựa trên kết quả nghiên cứu gần đây của các chuyên gia Kaspersky Lab, đằng sau các botnet mới được phát hiện, các tội phạm phân phối phần mềm khai thác với sự trợ giúp của các chương trình phần mềm adware mà nạn nhân đang cài đặt tự nguyện. Sau khi chương trình adware được cài đặt trên máy tính của nạn nhân nó tải về một thành phần độc hại: trình cài đặt đào tiền. Thành phần này cài đặt phần mềm khai thác tiền ảo và ngoài ra, thực hiện một số hoạt động để đảm bảo rằng phần mềm này hoạt động càng lâu càng tốt. Các hoạt động này bao gồm:
– Cố gắng vô hiệu hóa phần mềm bảo mật;
– Theo dõi tất cả các ứng dụng khởi chạy, và đình chỉ các hoạt động của riêng chúng nếu một chương trình giám sát các hoạt động hệ thống hoặc quá trình điều khiển được bắt đầu;
– Đảm bảo bản sao của phần mềm đào tiền ảo luôn có mặt trên ổ cứng và khôi phục lại nếu nó bị xóa
Ngay sau khi các đồng xu đầu tiên được khai thác, chúng được chuyển đến các ví của bọn tội phạm, để lại cho nạn nhân những máy tính hiệu năng kém và các hóa đơn điện cao hơn so với bình thường. Dựa trên quan sát của Kaspersky Lab, bọn tội phạm có xu hướng khai thác hai tiền ảo: Zcash và Monero. Các loại tiền tệ cụ thể này có thể được chọn vì chúng cung cấp một cách đáng tin cậy để ẩn danh các giao dịch và chủ sở hữu ví.
Các dấu hiệu đầu tiên của các “thợ đào” nguy hiểm trở lại đã được Kaspersky phát hiện vào đầu tháng 12 năm 2016, khi một nhà nghiên cứu của công ty báo cáo có ít nhất 1.000 máy tính bị nhiễm phần mềm độc hại, đã khai thác Zcash – một loại tiền ảo được ra mắt vào cuối tháng 10 năm 2016. Vào thời điểm đó – nhờ giá Zcash đang tăng nhanh – botnet này có thể mang lại cho chủ sở hữu đên 6.000$ mỗi tuần. Sự xuất hiện của các botnet khai thác tiền ảo mới đã được dự đoán và kết quả của các nghiên cứu gần đây đã xác nhận rằng dự báo là đúng.
Ông Evgeny Lopatin, chuyên gia phân tích phần mềm độc hại tại Kaspersky Lab cho biết: “Vấn đề chính của các mã độc đào tiền là thực sự khó có thể phát hiện ra hoạt động của chúng bởi vì chúng đang sử dụng phần mềm khai thác hoàn toàn hợp pháp mà trong một tình huống bình thường cũng có thể được cài đặt bởi một người dùng hợp pháp. Một điều đáng lo ngại khác mà chúng tôi nhận ra khi quan sát hai botnet mới này là các mã độc đào tiền đang tự mình trở nên có giá trị trên thị trường ngầm. Chúng tôi đã thấy những tên tội phạm cung cấp các công cụ đào tiền ảo: phần mềm cho phép bất cứ ai sẵn sàng trả tiền cho phiên bản đầy đủ có thể tạo ra botnet khai thác tiền ảo của chính họ. Điều này có nghĩa là các botnet mà chúng tôi đã xác định gần đây chắc chắn không phải là những botnet cuối cùng”.