Phần mềm độc hại đã lây nhiễm cho hàng chục nghìn người dùng để chiếm quyền điều khiển thiết bị của họ nhằm khai thác và cố gắng đánh cắp tiền điện tử — nhưng thiệt hại chỉ khoảng 6.000 đô la.
Công ty an ninh mạng Doctor Web báo cáo vào ngày 8 tháng 10 rằng họ đã phát hiện phần mềm độc hại ngụy trang thành phần mềm hợp pháp, chẳng hạn như chương trình văn phòng, phần mềm gian lận trong trò chơi và bot giao dịch trực tuyến.
Phần mềm đánh cắp và khai thác tiền điện tử đã lây nhiễm cho hơn 28.000 người dùng, chủ yếu ở Nga nhưng cũng có ở Belarus, Uzbekistan, Kazakhstan, Ukraine, Kyrgyzstan và Thổ Nhĩ Kỳ.
Theo Doctor Web, tin tặc chỉ có thể chiếm được khoảng 6.000 đô la tiền điện tử. Tuy nhiên, không rõ người tạo ra phần mềm độc hại này có thể kiếm được bao nhiêu từ việc khai thác tiền điện tử.
Công ty an ninh mạng cho biết nguồn phát tán phần mềm độc hại bao gồm các trang GitHub lừa đảo và mô tả video trên YouTube có liên kết độc hại.
Khi thiết bị bị nhiễm, phần mềm sẽ âm thầm chiếm đoạt tài nguyên máy tính để khai thác tiền điện tử.
“Clipper” cũng theo dõi các địa chỉ ví tiền điện tử mà người dùng sao chép vào bảng tạm của thiết bị và phần mềm độc hại sẽ thay thế chúng bằng các địa chỉ do kẻ tấn công kiểm soát — đó là cách chúng lấy cắp một lượng tiền điện tử nhỏ.
Chuỗi tấn công phần mềm độc hại. Nguồn: Doctor Web
Phần mềm độc hại này sử dụng các kỹ thuật tinh vi để tránh bị phát hiện, bao gồm lưu trữ được bảo vệ bằng mật khẩu để bỏ qua quét vi-rút, ngụy trang các tệp độc hại thành các thành phần hệ thống hợp pháp và sử dụng phần mềm hợp pháp để thực thi các tập lệnh độc hại.
Vào tháng 9, sàn giao dịch tiền điện tử Binance đã cảnh báo về phần mềm độc hại Clipper khi ghi nhận mức tăng đột biến hoạt động vào cuối tháng 8, "dẫn đến tổn thất tài chính đáng kể cho người dùng bị ảnh hưởng".
Doctor Web cho biết nhiều thiết bị của nạn nhân phần mềm độc hại đã bị xâm phạm "bằng cách cài đặt các phiên bản lậu của các chương trình phổ biến" và khuyến cáo chỉ nên cài đặt phần mềm từ nguồn chính thức.
Phần mềm độc hại thay đổi bảng tạm đã xuất hiện trong nhiều năm và đặc biệt nổi bật sau thị trường tiền điện tử tăng giá năm 2017.
Các loại chương trình phần mềm độc hại này ngày càng trở nên tinh vi hơn, thường kết hợp việc chiếm dụng clipboard với các chức năng độc hại khác.
Vào tháng 9, công ty tình báo mối đe dọa Facct đã báo cáo rằng những kẻ xấu và kẻ lừa đảo đang lợi dụng chức năng trả lời tự động trong email để phát tán phần mềm độc hại khai thác tiền điện tử.
Tạp chí: DeFi Saver lừa đảo 55 triệu đô la, copy2pwn chiếm đoạt clipboard của bạn: Crypto Sec
