Phát hiện Botnet khai thác tiền điện tử sử dụng ảnh của Taylor Swift để lây lan mã độc

Công ty an ninh mạng có trụ sở tại Anh Quốc: Sophos, vừa tìm thấy một Botnet khai thác tiền điện tử sở hữu phương thức lan truyền mã độc vô cùng độc đáo và hiệu quả.

Botnet này có tên MyKingz (còn được biết đến với biệt danh Smominru, DarkCloud hoặc Hexmen), hiện đang tận dụng steganography - một kỹ thuật cho phép ẩn tệp tin độc hại bên trong các tệp tin hợp lệ nhằm đánh lừa những người “nhẹ dạ cả tin” hoặc không có nhiều kiến thức về bảo mật dữ liệu.

Theo phát hiện của Sophos, những kẻ đứng sau MyKingz đã tiến hành ẩn một tệp thực thi EXE độc hại bên trong hình ảnh JPEG của nữ ca sĩ nổi tiếng Taylor Swift và sử dựng hình ảnh này để đánh lừa, lan truyền mã độc trên máy tính của các nạn nhân khi họ click vào bức ảnh.

Bức ảnh ban đầu (bên trái) trông rất bình thường, nhưng ẩn sâu bên trong nó là file độc

Trên thực tế MyKingz không phải là một Botnet mới mẻ. Nó được phát hiện lần đầu vào năm 2017, tuy nhiên một trong những đặc điểm khiến MyKingz trở nên nguy hiểm chính là khả năng ẩn mình và thay đổi phương thức lây lan vô cùng linh hoạt. Hiện tại, Botnet này được ghi nhận là một trong số ít các phần mềm độc hại khai thác tiền điện tử có quy mô lên tới hàng trăm ngàn thiết bị.

Trong hoạt động thực tế, MyKingz chủ yếu tập trung vào các hệ thống Windows, và đặc biệt, Botnet này đang sở hữu một trong những cơ chế quét, lây nhiễm mã độc tinh vi nhất từng được ghi nhận trên tất cả các botnet đã được biết đến tính tới thời điểm hiện tại. MyKingz có thể nhắm mục tiêu đến mọi hệ thống có liên quan đến Windows, chẳng hạn như MySQL, MS-SQL, Telnet, ssh, IPC, WMI, Remote Desktop (RDP) và thậm chí là cả các máy chủ chạy bộ lưu trữ camera CCTV.

Theo ước tính, chỉ sau vài tháng được tung ra trên quy mô toàn cầu, MyKingz đã lây nhiễm thành công trên 525.000 hệ thống Windows, thu về lượng tiền ảo Monero (XMR) có giá trị lên tới hơn 2,3 triệu đô la. Các quốc gia “ưa thích” của Botnet này bao gồm: Trung Quốc, Đài Loan, Nga, Brazil, Mỹ, Ấn Độ và Nhật Bản.

Báo cáo mới nhất của Sophos cho thấy MyKingz hiện đang lây nhiễm khoảng 4.700 hệ thống mới và giúp những kẻ tấn công bỏ túi 300 đô la mỗi ngày - số tiền không quá lớn nhưng chủ yếu là do tỉ giá của Monero đang trên đà giảm mạnh.