Sử dụng nguồn tài nguyên dồi dào từ các hệ thống máy chủ để kiếm tiền ảo đang là một hướng đi mà các hacker ưa thích khai thức sử dụng.

Việc đào tiền ảo đòi hỏi sự đầu tư khá đáng kể, vì vậy, tin tặc đang viết những con malware nhằm tấn công vào các hệ thống máy tính để trộm tài nguyên, phục vụ cho việc khai thác tiền ảo một cách hoàn toàn tự động.

Tin tặc tấn công hàng trăm máy chủ Microsoft IIS để đào tiền ảo, kiếm được 63.000 USD trong 3 tháng

Theo báo cáo mới đây từ hãng bảo mật ESET, họ đã khám phá ra một malware mới đã lây nhiễm vào hàng trăm máy chủ web dùng hệ điều hành Windows. Malware này có module đào tiền ảo và giúp cho tội phạm mạng kiếm hơn 63.000 USD tiền Monero (XMR) chỉ trong 3 tháng.

Báo cáo của ESET cho biết tội phạm mạng chỉ thực hiện sửa đổi phần mềm khai thác mỏ Monero hợp pháp. Malware này khai thác lỗ hổng đã biết trong Microsoft IIS 6.0 để bí mật cài đặt ‘thợ mỏ’ trên các máy chủ Windows chưa được vá.

Dù cuộc điều tra của ESET không xác định được kẻ đứng đằng sau, nhưng báo cáo cho biết tin tặc đã làm lây nhiễm trình khai thác tiền ảo vào các máy chủ web chưa được vá của Windows có thể là từ tháng 5/2017 để khai thác tiền Monero, một loại tiền mã hoá giống như Bitcoin.

Lỗ hổng bảo mật (CVE-2017-7269) do những kẻ tấn công khai thác được phát hiện vào tháng 3/2017 bởi Zhiniang Peng và Chen Wu, nó tồn tại trong dịch vụ WebDAV của Microsoft IIS 6.0 – phần mềm máy chủ web trong hệ điều hành Windows Server 2003 R2.

Do đó, tin tặc chỉ nhắm mục tiêu các máy tính chưa được vá, đang chạy Windows Server 2003 để làm cho nó thành một phần của mạng botnet, vốn đã giúp hacker kiếm được một số tiền không hề nhỏ trong thời gian ngắn.

Tin tặc tấn công hàng trăm máy chủ Microsoft IIS để đào tiền ảo, kiếm được 63.000 USD trong 3 tháng

Lỗi gây tổn thương hệ thống nằm trên máy chủ web, có thể nhìn thấy được từ internet nên mọi người có thể truy cập và khai thác được. Malware độc hại khai thác tiền Monero mới bị công bố hiện có tổng giá trị thị trường khoảng 1,4 tỷ USD, xa hơn Bitcoin về vốn hóa thị trường, nhưng các tội phạm về ma túy thích dùng Monero vì nó tập trung vào vấn đề riêng tư.

Không như Bitcoin, hiện Monero cung cấp các giao dịch không thể tra cứu và là mật mã vô danh trên thế giới. Một lý do khác khiến hacker ưa chuộng Monero là sử dụng thuật toán xác minh công việc được gọi là CryptoNight, phù hợp với CPU máy tính hoặc máy chủ và GPU, trong khi khai thác Bitcoin yêu cầu phần cứng khai thác cụ thể.

Đây không phải là lần đầu tiên các nhà phân tích tìm ra malware đang khai thác đồng Monero bằng cách đánh cắp tài nguyên của các máy tính bị xâm nhập. Vào giữa tháng 5, nhà nghiên cứu của Proofpoint phát hiện ra malware với tên Adylkuzz đã nhắm vào lỗi bảo mật EternalBlue – tạo ra bởi NSA và bị Shadow Brokers công bố hồi tháng 4 – để lây nhiễm các hệ thống Windows chưa được vá và khai thác đồng Monero.

Tuần trước đó, các nhà nghiên cứu của GuardiCore phát hiện ra một malware botnet mới có tên BondNet. Nó cũng lây nhiễm vào các hệ thống Windows với sự kết hợp của các kỹ thuật, malware này chủ yếu cũng khai thác đồng Monero.

Theo TheHackerNews

Góc quảng cáo