MinhSec
Writer
Một báo cáo từ Darktrace vừa tiết lộ chiến dịch tấn công mạng tinh vi, trong đó tin tặc chiếm quyền điều khiển ứng dụng Character Map trên Windows để bí mật khai thác tiền điện tử.
Cuộc điều tra do chuyên gia Keanna Grelicha và trưởng nhóm nghiên cứu Tara Gould dẫn đầu cho thấy loại mã độc này thuộc nhóm cryptojacking hình thức tấn công dùng sức mạnh xử lý của thiết bị nạn nhân để đào tiền cho kẻ xấu. Hệ quả là máy tính chậm lại, hóa đơn điện tăng cao và dữ liệu có thể bị rủi ro.
Theo Darktrace, sự cố được phát hiện vào ngày 22/7/2025 khi một doanh nghiệp trong lĩnh vực bán lẻ và thương mại điện tử bị nhắm mục tiêu. Dấu hiệu ban đầu là một tác nhân người dùng PowerShell bất thường, từ đó truy vết ra mã độc NBMiner được cài cắm bằng “trình tải AutoIt bị che giấu”.
Khi đã chạy ổn định, nó cố gắng kết nối với nhóm khai thác tiền điện tử gulf.moneroocean.stream để bắt đầu đào coin trong nền. Sự ngụy trang này khiến các giải pháp an ninh truyền thống rất khó phát hiện.
Jason Soroko, chuyên gia an ninh tại Sectigo, nhấn mạnh rằng các tổ chức cần xem việc khai thác tiền điện tử bất hợp pháp như một tín hiệu xâm nhập nghiêm trọng. Theo ông, khả năng quan sát hoạt động của các tập lệnh, quy trình và kết nối mạng sẽ quan trọng hơn nhiều so với chỉ dựa vào danh sách mối đe dọa đã biết.
hackread.com
Cuộc điều tra do chuyên gia Keanna Grelicha và trưởng nhóm nghiên cứu Tara Gould dẫn đầu cho thấy loại mã độc này thuộc nhóm cryptojacking hình thức tấn công dùng sức mạnh xử lý của thiết bị nạn nhân để đào tiền cho kẻ xấu. Hệ quả là máy tính chậm lại, hóa đơn điện tăng cao và dữ liệu có thể bị rủi ro.
Theo Darktrace, sự cố được phát hiện vào ngày 22/7/2025 khi một doanh nghiệp trong lĩnh vực bán lẻ và thương mại điện tử bị nhắm mục tiêu. Dấu hiệu ban đầu là một tác nhân người dùng PowerShell bất thường, từ đó truy vết ra mã độc NBMiner được cài cắm bằng “trình tải AutoIt bị che giấu”.
Cách thức hoạt động tinh vi
Mã độc được tải trực tiếp vào bộ nhớ máy tính, sau đó “cấy” vào tiến trình charmap.exe ứng dụng Windows vốn chỉ dùng để chèn ký tự đặc biệt. Nhờ vậy, nó dễ dàng lẩn tránh hệ thống giám sát. Thậm chí, phần mềm còn kiểm tra xem người dùng có mở Task Manager hay không, và liệu Windows Defender có phải là công cụ bảo mật duy nhất được cài đặt.
Khi đã chạy ổn định, nó cố gắng kết nối với nhóm khai thác tiền điện tử gulf.moneroocean.stream để bắt đầu đào coin trong nền. Sự ngụy trang này khiến các giải pháp an ninh truyền thống rất khó phát hiện.
Cảnh báo cho các tổ chức
Darktrace cho biết hệ thống phản ứng tự động của họ đã kịp thời chặn kết nối ra bên ngoài, ngăn chặn tấn công ngay từ sớm. Tuy nhiên, sự việc là lời nhắc nhở rằng cryptojacking không chỉ là phiền toái nhỏ mà có thể là dấu hiệu của một chiến dịch gián điệp mạng quy mô lớn hơn.Jason Soroko, chuyên gia an ninh tại Sectigo, nhấn mạnh rằng các tổ chức cần xem việc khai thác tiền điện tử bất hợp pháp như một tín hiệu xâm nhập nghiêm trọng. Theo ông, khả năng quan sát hoạt động của các tập lệnh, quy trình và kết nối mạng sẽ quan trọng hơn nhiều so với chỉ dựa vào danh sách mối đe dọa đã biết.
New Malware Uses Windows Character Map for Cryptomining
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
