Ngày 06/3/2018, Windows Defender của Microsoft đã chặn được một đợt bùng nổ mã độc đào tiền ảo lớn với tốc độ lây lan rất nhanh. Nếu thành công, mã độc đã có thể lây nhiễm tới gần 500.000 máy tính sử dụng hệ điều hành Windows trong vòng vài giờ đồng hồ.
Mã độc này là một dạng trojan có tên gọi Dofoil hoặc Smoke Loader, được thiết kế để chuyển tới một loạt các payload. Trong trường hợp này, nó cài vào máy tính bị lây nhiễm một phần mềm mã độc đào tiền ảo, từ đó “kiếm” đồng tiền ảo Electroneum nhờ CPU của nạn nhân.
Windows Defender của Microsoft đã phát hiện 80.000 trường hợp biến thể của Dofoil có chứa các payload độc hại vào trưa ngày 06/3 (giờ quốc tế PST – UTC -8). Trong 12 giờ tiếp theo, Windows Defender đã phát hiện hơn 400.000 trường hợp của mã độc này, chủ yếu tại Nga, ngoài ra còn tại Thổ Nhĩ Kỳ và Ukraine.
Microsoft cho biết, mã độc Dofoil thực hiện một kỹ thuật tấn công gọi là “làm rỗng tiến trình” (process hollowing) trên explorer.exe hợp lệ. Kỹ thuật này tạo ra một trường hợp mới của nhị phân hợp pháp, nhưng lại thay đổi mã hợp lệ thành mã độc hại.
Theo Mark Simos, kiến trúc sư an toàn mạng tại Microsoft, tiến trình explorer.exe rỗng được thay thế bởi trường hợp có chứa mã độc. Trường hợp này sẽ chạy phần mềm độc hại để đào tiền mã hóa, giả mạo nhị phân Windows hợp pháp là wuauclt.exe.
Còn các nhà nghiên cứu của Kaspersky cho biết, tin tặc đã sử dụng kỹ thuật làm rỗng tiến trình để cài phần mềm độc hại đào tiền ảo, mang tới cho chúng hàng triệu USD trong nửa cuối năm 2017. Kỹ thuật làm rỗng tiến trình rất hữu ích cho tin tặc, vì các phần mềm chống virus thường nhầm nó với chương trình hợp lệ. Kaspersky cho rằng, các nạn nhân thường bị lây nhiễm sau khi tải phần mềm nhìn “có vẻ hợp pháp”.
Để duy trì vị trí trên máy tính bị nhiễm, mã độc Dofoil đã chỉnh lại khóa registry của Windows sau khi làm rỗng tiến trình explorer.exe.
Mark Simos cho biết, tiến trình explorer.exe rỗng tạo ra một bản sao của phần mềm độc hại ban đầu trong thư mục Roaming AppData và đổi tên nó thành ditereah.exe. Sau đó, nó tạo ra một khóa registry mới hoặc sửa đổi khóa hiện có để chỉ đến bản sao phần mềm độc hại vừa được tạo ra. Trong mẫu mã độc mà các nhà nghiên cứu đã phân tích, phần mềm độc hại đã sửa đổi khóa của OneDrive Run.
Mã độc đào tiền ảo có thể đem đến cho tin tặc nhiều tiền hơn mã độc tống tiền mã hóa tập tin. Theo Renato Marinho, Giám đốc Nghiên cứu tại công ty an ninh máy tính Morphus (Brazil), ưu điểm chính của mã độc đào tiền ảo là chắc chắn sẽ mang lại lợi ích kinh tế cho tin tặc khi lây nhiễm.
Vào tháng 01/2018, Renato Marinho đã phát hiện ra tin tặc khai thác các máy chủ Oracle WebLogic. Trong khi có thể cài mã độc tống tiền hoặc đánh cắp dữ liệu, tin tặc sử dụng các máy chủ bị xâm hại để đào tiền ảo Monero, mang tới hơn 200.000 USD trong vài tháng. Theo ông, tin tặc đang chuyển xu hướng từ sử dụng mã độc tống tiền sang mã độc đào tiền ảo, vì mã độc tống tiền không đảm bảo việc tin tặc sẽ nhận được tiền chuộc. Trong khi đó, đào tiền ảo chắc chắn mang tới cho chúng lợi nhuận mà không bị chú ý nhiều.
Cuộc tấn công WebLogic có quy mô tương đối nhỏ so với một chiến dịch khác mà Renato Marinho đã phát hiện ra vào tháng 01/2018, tin tặc đã sử dụng một mạng lưới các máy tính bị xâm hại để tạo ra 4.273 đồng Monero, trị giá khoảng 1,7 triệu USD vào lúc đó và hiện tại là 1,3 triệu USD.
Mark Simos cho biết, các mô hình học máy trên điện toán đám mây cho phân tích siêu dữ liệu của Windows đã phát hiện ra các trường hợp lây nhiễm đầu tiên “chỉ trong mili giây”. Mặc dù mã độc Dofoil sử dụng các nhị phân Windows hợp lệ, nhưng lại chạy từ một vị trí sai. Dòng lệnh này là bất thường so với nhị phân hợp pháp. Ngoài ra, các lượt truy cập mạng từ nhị phân này là đáng ngờ.