Một “bản cập nhật” Adobe Flash giả mạo vừa bị phát hiện được sử dụng để lén lút cài đặt phần mềm độc hại khai thác tiền điện tử trên máy tính và mạng, tạo ra tổn thất nghiêm trọng về thời gian, hiệu năng hệ thống và mức tiêu thụ điện cho người dùng bị ảnh hưởng.
Đây không phải là lần đầu tiên người ta phát hiện ra các bản cập nhật như Adobe Flash có chứa các phần mềm hay virus độc hại, nhưng lần này có vẻ nó đã tinh vi hơn, có mục tiêu cụ thể như một chiến dịch mới, thủ thuật mới để tự động tải xuống thêm các chương trình khai thác tiền điện tử trên các hệ thống Windows một cách lén lút, tinh vi.
Trong Unit 42 mối đe dọa -nhà phân tích tình báo Brad Duncan viết:
“Đầu tháng 8 năm 2018, một số mẫu mạo danh bản cập nhật Adobe Flash đã thông báo cửa sổ tự động bật lên được lấy từ trình cài đặt Adobe chính thức. Các bản cập nhật Flash giả này cài đặt các chương trình không mong muốn như trình khai thác tiền điện tử XMRig, đặc biệt một điều là phần mềm độc hại này cũng có thể cập nhật Flash Player của nạn nhân lên phiên bản mới nhất.”
Sự khó chịu từ “bản cập nhật” giả mạo này là một nạn nhân bình thường khó có thể nhận thấy bất cứ điều gì bất thường trên máy tính của họ- dù có một ai đó lợi dụng máy tính đó để đào coin (tiền điện tử XMRig) hoặc chương trình không mong muốn khác đang lặng lẽ chạy trong nền của máy tính Windows của nạn nhân.
Phần mềm khai thác này có khả năng làm chậm bộ vi xử lý máy tính của nạn nhân, làm hỏng ổ đĩa cứng hoặc trích xuất dữ liệu bí mật và truyền dữ liệu đó sang các nền tảng kỹ thuật số khác mà không có sự đồng ý của nạn nhân.
Nguy hiểm hơn, những phần mềm này rất có thể theo dõi nạn nhân, vị trí, sử dụng camera ẩn, lấy cắp thông tin v.v…
Chi tiết kỹ thuật của phần mềm độc hại giả mạo “Bản cập nhật” Adobe
Không rõ các nạn nhân bị dẫn tới địa chỉ URL của “Bản cập nhật” Adobe đó như thế nào. Tuy nhiên, Duncan cho rằng lưu lượng mạng trong quá trình lây nhiễm chủ yếu liên quan đến các cập nhật Flash gian lận. Thật thú vị, máy chủ Windows bị nhiễm tạo ra một yêu cầu HTTP POST cho [osdsoft [.] Com], một miền liên kết với các trình cập nhật hoặc trình cài đặt các chương trình khai thác tiền điện tử.
Duncan cho biết thêm: trong khi nhóm nghiên cứu tìm kiếm các bản cập nhật Flash giả mạo cụ thể. Họ đã quan sát một số tệp Windows có tên bắt đầu bằng Adobe Flash Player từ các máy chủ web không dựa trên nền tảng đám mây. Các bản cập nhật tải xuống này thường có chuỗi “flashplayer_down.php? Clickid =” trong URL.
Nhóm cũng đã tìm thấy 113 trường hợp về phần mềm độc hại đáp ứng các tiêu chí này kể từ tháng 3 năm 2018 trong AutoFocus. 77 trong số các mẫu phần mềm độc hại này được xác định bằng thẻ CoinMiner trong AutoFocus. 36 mẫu còn lại chia sẻ các thẻ khác với 77 tệp thực thi liên quan đến CoinMiner.
Ông khuyên người dùng Windows nên thử kiểm tra lại máy tính của mình, thận trọng hơn trong các bản cập nhật Adobe Flash mà họ cố gắng cài đặt. Ông nói rằng trong cùng khoảng thời gian các tính năng cập nhật và cập nhật Adobe chính chủ thông báo, thì cũng là lúc làm cho trình cài đặt giả mạo có vẻ hợp pháp hơn, nạn nhân vẫn sẽ nhận được các dấu hiệu cảnh báo về việc chạy tải xuống tệp trên máy tính Windows của họ.
Duncan nói rằng:
“Các tổ chức và người dùng được đào tạo có nguy cơ lây nhiễm thấp hơn nhiều từ các bản cập nhật giả mạo này.”
Các bạn nghĩ sao về các phần mềm giả mạo nguy hiểm này?
Hãy để lại cảm nghĩ của bạn nhé!