Phát hiện mã độc bằng tiếng quạt máy tính

Rate this post

Nghe thấy tiếng quạt máy tính không bình thường, một kỹ sư bảo mật đã phát hiện ra rằng thiết bị của mình đang truy cập vào một trang web được cài đặt phần mềm độc hại khai thác tiền điện tử.

Trên máy tính Windows, quạt tản nhiệt thường quay với tốc độ cao khi CPU đang xử lý các tác vụ nặng hoặc khi hệ điều hành đang thực hiện cập nhật. “Tuy nhiên, ngày hôm đó, chiếc quạt đột ngột quay và hơn ba phút trôi qua, nó vẫn chạy hết tốc lực”, chuyên gia bảo mật có nickname whf được chia sẻ trên diễn đàn WhiteHat.

Giống như nhiều người dùng Windows khác, anh mở ngay công cụ Process Explorer để kiểm tra nhưng không phát hiện bất kỳ tiến trình nào liên quan đến Windows Update cần sử dụng nhiều tài nguyên. Thay vào đó, quy trình trình duyệt Chrome đang sử dụng tới gần 50% CPU.

Tiếp tục kiểm tra sâu hơn với công cụ Trình quản lý tác vụ trên Chrome, whf phát hiện trình duyệt đang tương tác với trang web vòi tự động. Đây là trang web cho phép người dùng thực hiện các tác vụ hoặc chèn mã vào trang web để nhận tiền mã hóa. Điều bất thường là anh ta chưa bao giờ truy cập trang web này.

Bằng một số so sánh với các trang web đã mở trước đó, với công cụ DevTools, kỹ sư này đã nhận ra một trang web khác mà anh đã truy cập. Bất cứ khi nào trang này tải, một yêu cầu cũng sẽ được chuyển đến vòi tự động.

Trang web được chèn một công cụ khai thác tiền điện tử.  Ảnh: wfh

Trang web được chèn một công cụ khai thác tiền điện tử. Hình ảnh: wfh

“Đến đây, tôi có thể hình dung phần nào vấn đề. Trang web đó đã bị lợi dụng, chèn mã độc để đào tiền ảo. Khi tôi truy cập vào trang web, mã độc đã được kích hoạt để đào tiền ảo ngay trên trình duyệt, dẫn đến quạt CPU quay. “, whf nhận định.

Theo thành viên này, có hai nguyên nhân dẫn đến trang web bị cài mã độc. Thứ nhất, do trang web này được phát triển dựa trên WordPress 5.3.2, phiên bản cũ và tồn tại nhiều lỗ hổng có thể dẫn đến bị lợi dụng. Ngoài ra, không loại trừ trường hợp chính người quản trị trang này đã chèn mã độc.

Hình thức sử dụng mã độc để đào tiền ảo hay còn được gọi là cryptojacking. Tin tặc phát tán mã độc vào máy tính, lợi dụng tài nguyên thiết bị để khai thác tiền kỹ thuật số. Loại phần mềm độc hại này hầu như không gây hại đến dữ liệu của nạn nhân, nhưng gây tốn điện, giảm tuổi thọ của thiết bị và phạm pháp.

Cryptojacking đã xuất hiện ở Việt Nam từ nhiều năm nay. Báo cáo của Bkav từ năm 2018 cho thấy, cả nước có hơn 139.000 thiết bị bị nhiễm phần mềm khai thác tiền ảo có tên W32.AdCoinMiner. Loại tấn công này ngày càng trở nên phổ biến hơn sau khi giá của nhiều loại tiền điện tử tăng mạnh vào năm ngoái.

Theo Globalsign, có hai cách chính để phần mềm độc hại đào tiền mã hóa hoạt động. Một là thông qua việc cài đặt các ứng dụng bí mật trên máy tính và âm thầm khai thác bất cứ khi nào thiết bị kết nối Internet. Thứ hai là sử dụng các đoạn mã nhúng trong các trang web để chạy phần mềm khai thác trên trình duyệt của nạn nhân. Trong trường hợp wfh có thể được xếp vào nhóm thứ hai.

Một số dấu hiệu cho thấy máy tính bị nhiễm mã độc khai thác tiền ảo có thể kể đến như: tiền điện tăng bất thường, máy tính hoặc bộ định tuyến quá nóng, hoạt động chậm hoặc quá tải.

Lưu Quý

Leave a Comment