Cảnh báo: Phần mềm đào tiền ảo chứa mã độc lây nhiễm hơn 1 triệu máy tính

Theo Kaspersky, phần mềm độc hại này đã lây nhiễm hơn 1 triệu máy tính dùng hệ điều hành Windows và Linux trên toàn cầu kể từ năm 2017. Các nhà nghiên cứu đã bắt đầu điều tra malware này vào năm ngoái khi nhận thấy phần mềm của mình gắn cờ phát hiện trong WINNIT.exe, một chương trình giúp hệ điều hành Windows khởi động.

Các phát hiện sau đó chỉ ra StripedFly, ban đầu được phân loại là công cụ khai thác tiền điện tử. Trong quá trình phân tích kỹ thuật của chiến dịch, các chuyên gia của Kaspersky đã quan sát thấy những điểm tương đồng của StripedFly với phần mềm độc hại Equation. Chúng bao gồm các chỉ số kỹ thuật như chữ ký liên quan đến phần mềm độc hại Equation, cũng như phong cách mã hóa và cách thực hành tương tự như những gì được xác định trong phần mềm độc hại StraitBizzare (SBZ). Dựa trên số lượt tải xuống được hiển thị bởi kho lưu trữ phần mềm độc hại, số mục tiêu StripedFly ước tính đã đạt hơn một triệu nạn nhân trên toàn cầu.

Cụ thể, StripedFly sử dụng cuộc tấn công EternalBlue để xâm nhập vào các hệ thống Windows chưa được vá lỗi và âm thầm lây lan trên mạng máy tính, bao gồm cả hệ thống chạy Linux Malware. Phần mềm độc hại thu thập thông tin xác thực hai giờ một lần, lấy cắp dữ liệu nhạy cảm như thông tin đăng nhập trên trang web và Wi-Fi, cùng với các dữ liệu cá nhân như tên, địa chỉ, số điện thoại, công ty và chức danh công việc.

Hơn nữa, StripedFly có khả năng chụp ảnh màn hình trên thiết bị mà không bị phát hiện, giành quyền kiểm soát đáng kể đối với máy và thậm chí ghi lại âm thanh từ micro. Để tránh bị phát hiện, các tác giả của StripedFly đã thêm module khai thác tiền điện tử để ngăn hệ thống chống virus phát hiện.

Mặc dù lỗ hổng EternalBlue đã được công khai vào năm 2017 (được chỉ định là MS17-010) và Microsoft đã phát hành bản vá sau đó, nhiều hệ thống Windows vẫn chưa cài đặt bản vá này, tạo điều kiện cho StripedFly tận dụng lợi thế lây nhiễm trong suốt nhiều năm.

Đáng chú ý, tiền điện tử Monero được khai thác bởi module này đã đạt giá trị cao nhất là 542,33 USD vào ngày 09/01/2018, cao hơn 10 USD so với giá trị của năm 2017. Tính đến năm 2023, loại tiền điện tử này vẫn duy trì giá trị khoảng 150 USD.

Ông Sergey Lozhkin, Nhà nghiên cứu bảo mật chính tại GReAT cho biết: “Những nỗ lực trong việc đầu tư tạo ra cấu trúc phần mềm độc hại này thực sự đáng chú ý và việc tiết lộ về phần mềm độc hại này cũng khá kinh ngạc. Khả năng thích ứng và phát triển của các tác nhân đe dọa là một thách thức không ngừng. Đó cũng chính là lý do tại sao điều quan trọng đối với chúng tôi, với tư cách là các nhà nghiên cứu, là phải tiếp tục nỗ lực phát hiện và phổ biến về các mối đe dọa mạng tinh vi, đồng thời đảm bảo rằng các khách hàng không quên việc bảo vệ toàn diện”.

Mặc dù vẫn còn nhiều bí ẩn về nguồn gốc và tác giả của StripedFly, thì nguy cơ mà phần mềm độc hại này mang lại vẫn đang đe dọa nhiều máy tính trên khắp thế giới.

Duy Trinh (t/h)