Các nhà nghiên cứu an ninh mạng vừa lật tẩy một botnet sử dụng những thủ đoạn “bất chấp liêm sỉ” như là giấu mình trong các bức ảnh JPG của ca sĩ Taylor Swift để cài mã độc đào Monero (XMR) vào máy tính.
Botnet này có tên là Mykings (hay còn được biết đến với tên gọi là DarkCloud hay Smominru), và đã hoạt động kể từ năm 2016.
Nó đã bị phát hiện bởi hãng nghiên cứu bảo mật mạng SophosLabs, theo một báo cáo đăng tải vào ngày 18/12. Tuy đã hoành hành trên Internet từ bấy lâu nay, thế nhưng những kẻ đứng sau MyKings gần đây đã cài đặt thêm tính năng bookit cho botnet này, khiến nó trở nên khó bị phát hiện và gỡ bỏ hơn.
MyKings đã đào trộm được lượng Monero trị giá 3 triệu USD
Báo cáo của SophosLabs đã hé lộ toàn bộ hoạt động của botnet, vốn chủ yếu tấn công vào các dịch vụ hỗ trợ hệ thống quản lý cơ sở dữ liệu chạy trên hệ điều hành Windows như là MqSQL và MS-SQL, các giao thức mạng lưới như Telnet, và thậm chí là cả server của các máy quay an ninh.
Mục tiêu tấn công của MyKings là để lây nhiễm các mã độc, phổ biến nhất là một phần mềm Trojan tên là “Forshare”, vốn có chức năng đào đồng tiền điện tử Monero (XMR). SophosLabs ước tính từ trước đến nay, botnet MyKings đã giúp bọn tin tặc đứng sau nó đào trộm được khoảng 3 triệu USD tiền XMR, tương đương với thu nhập $300 mỗi ngày.
“Đội lốt” ảnh người nổi tiếng
More about #MyKings botnet…
In this sample image, a Windows malware executable (identifiable by its characteristic MZ header bytes and text) appears within the image data in a modified .jpg photo of Taylor Swift.
See full report by @GaborSzappanos: https://t.co/au5hK6F2rn pic.twitter.com/5SDr9kq2Xh— SophosLabs (@SophosLabs) December 19, 2019
Để lấy ví dụ, các nhà nghiên cứu SophosLabs đã lấy một bức ảnh của ca sĩ nhạc pop Taylor Swift. Tuy bề ngoài của nó trông rất bình thường, thế nhưng ẩn sau bên trong đó là một đoạn mã dùng để cài MyKings vào máy tính sau khi người dùng tải ảnh về.
Báo cáo của SophosLabs còn cảnh báo thêm về độ “lì lợm” của MyKings, vốn có thể tự chống lại các nỗ lực gỡ bỏ nó khỏi máy tính.
“Kể cả khi đa số các bộ phận của botnet đã bị gỡ cài đặt, những phần còn lại vẫn có khả năng tự khôi phục nó về trạng thái ban đầu bằng cách tự cập nhật lên lại. Tất cả được thực hiện bằng cách tự chiết xuất lại kho lưu trữ RAR và file batch của Windows.”
SophosLabs cũng cho biết các quốc gia đang bị lây nhiễm MyKings nhiều nhất gồm Trung Quốc, Đài Loan, Nga, Brazil, Hoa Kỳ, Ấn Độ và Nhật Bản.
Theo CoinTelegraph
Có thể bạn quan tâm: