Các nhà nghiên cứu an ninh mạng từ ESET hôm thứ Năm cho biết họ đã lấy đi một phần của mạng botnet phần mềm độc hại bao gồm ít nhất 35.000 hệ thống Windows bị xâm nhập mà những kẻ tấn công đang bí mật sử dụng để khai thác tiền điện tử Monero.
Botnet, được đặt tên là “VictoryGate”, đã hoạt động từ tháng 5 năm 2019, với các bệnh nhiễm trùng chủ yếu được báo cáo ở Mỹ Latinh, đặc biệt là Peru chiếm 90% các thiết bị bị xâm nhập.
“Hoạt động chính của botnet là khai thác tiền điện tử Monero,” ESET cho biết. “Các nạn nhân bao gồm các tổ chức trong cả khu vực công và tư nhân, bao gồm cả các tổ chức tài chính.”
ESET cho biết họ đã làm việc với nhà cung cấp DNS động No-IP để gỡ các máy chủ chỉ huy và kiểm soát độc hại (C2) và họ thiết lập các tên miền giả (còn gọi là hố sụt) để giám sát hoạt động của botnet.
Dữ liệu về lỗ hổng cho thấy rằng từ 2.000 đến 3.500 máy tính bị nhiễm được kết nối với máy chủ C2 hàng ngày trong suốt tháng 2 và tháng 3 năm nay.
Theo các nhà nghiên cứu ESET, VictoryGate truyền qua các thiết bị di động như ổ USB, khi được kết nối với máy nạn nhân, sẽ cài đặt một trọng tải độc hại vào hệ thống.
Ngoài ra, mô-đun cũng giao tiếp với máy chủ C2 để nhận tải trọng thứ cấp tiêm mã tùy ý vào các quy trình hợp pháp của Windows, chẳng hạn như đưa phần mềm khai thác XMRig vào quy trình ucsvc.exe (hoặc Tiện ích phục vụ tệp khởi động), do đó tạo điều kiện cho việc khai thác Monero.
“Từ dữ liệu được thu thập trong các hoạt động chìm của chúng tôi, chúng tôi có thể xác định rằng trung bình có 2.000 thiết bị khai thác trong suốt cả ngày”, các nhà nghiên cứu cho biết. “Nếu chúng tôi ước tính tốc độ băm trung bình 150H / giây, chúng tôi có thể nói rằng các tác giả của chiến dịch này đã thu thập ít nhất 80 Monero (khoảng $ 6000) từ botnet này.”
Với các ổ USB được sử dụng làm vector truyền bá, ESET đã cảnh báo về các bệnh nhiễm trùng mới có thể xảy ra trong tương lai. Nhưng với một lượng đáng kể cơ sở hạ tầng C2 bị chìm, các bot sẽ không còn nhận được tải trọng thứ cấp. Tuy nhiên, những máy bị xâm nhập trước khi máy chủ C2 bị gỡ xuống vẫn sẽ tiếp tục khai thác Monero.
“Một trong những đặc điểm thú vị về VictoryGate là nó cho thấy nỗ lực lớn hơn để tránh bị phát hiện so với các chiến dịch tương tự trước đây trong khu vực”, nhóm nghiên cứu kết luận.
“Và, do thực tế là botmaster có thể cập nhật chức năng của các tải trọng được tải xuống và thực thi trên các thiết bị bị nhiễm từ khai thác tiền điện tử sang bất kỳ hoạt động độc hại nào khác tại bất kỳ thời điểm nào, điều này có rủi ro đáng kể.”
