VietBF - View Single Post - Mã độc mới biến Windows Character Map trở thành công cụ để đào tiền điện tử

trungthuc · **Release:** 09-06-2025 Reputation: 330488

Một báo cáo từ trang mạng Darktrace vừa tiết lộ ra chiêu trò tấn công mạng mới và rất tinh vi, trong đó bọn tin tặc tìm cách để chiếm quyền điều khiển ứng dụng "Character Map" trên he655 thống chạy Windows để bí mật khai thác tiền điện tử.

Cuộc điều tra do chuyên gia Keanna Grelicha và trưởng nhóm nghiên cứu Tara Gould dẫn đầu cho thấy loại mã độc này thuộc nhóm cryptojacking theo hình thức tấn công dùng sức mạnh xử lý của thiết bị nạn nhân để đào tiền điện tử cho kẻ xấu. Hậu quả quả là máy tính sẽ chạy chậm lại, hóa đơn tiền điện tăng cao ngất và dữ liệu thông tin cá nhân có thể gặp rủi ro.

Theo Darktrace, vụ này đã được phát hiện ra vào ngày 22/7/2025 khi một công ty kinh doanh trong lĩnh vực bán lẻ và thương mại điện tử bị nhắm làm mục tiêu của bọn tin tặc. Dấu hiệu ban đầu là thấy xuất hiệnmột tác nhân sử dụng PowerShell khá bất thường, từ đó đã truy vết ra mã độc NBMiner đã được cài cắm với "trình tải AutoIt bị che giấu".

(Minh họa)

Cách thức tiến hành hoạt động rất tinh vi
Mã độc sau khi được tải trực tiếp vào bộ nhớ của máy tính, sau đó sẽ "cho cấy" vào tiến trình charmap.exe, một ứng dụng trong Windows vốn chỉ dùng để chèn các loại ký tự đặc biệt.

Bảng ký tự đặc biệt (Minh họa)

Nhờ vậy, nó dễ dàng lẩn tránh hệ thống giám sát. Thậm chí, phần mềm có mã độc này còn kiểm tra xem người sử dụng máy có cho mở Task Manager hay không, và liệu Windows Defender có phải là phần mềm bảo mật duy nhất được cài đặt trong máy.

(Minh họa)

Khi đã chạy ổn định, nó sẽ tìm mọi cách để kết nối với băng nhóm khai thác tiền điện tử gulf.moneroocean.str eam để bắt đầu cho đào coin trong nền. Sự ngụy trang này khiến cho các biện pháp bảo vệ an ninh truyền thống rất khó phát hiện ra.

Cảnh cáo cho các tổ chức lớn nhỏ
Darktrace đã cho biết, hệ thống phản ứng tự động của họ đã kịp thời ngăn chặn sự kết nối ra bên ngoài, chặn được sự tấn công ngay từ lúc đầu. Tuy nhiên, sự việc ở đây là lời nhắc nhở rằng cryptojacking không chỉ là sự phiền toái nhỏ mà có thể là dấu hiệu của một chiến dịch gián điệp mạng với quy mô lớn hơn.

Jason Soroko, chuyên gia an ninh tại Sectigo, nhấn mạnh rằng, các tổ chức cần xem xét việc khai thác tiền điện tử bất hợp pháp như một tín hiệu xâm nhập mạng nghiêm trọng. Theo ông, khả năng quan sát hoạt động của các tập lệnh, quy trình và kết nối mạng sẽ quan trọng hơn nhiều so với chỉ dựa vào danh sách mối đe dọa đã biết và báo động.

*** Tham khảo thêm ở đây:
- https://hackread.com/new-malware-use...-cryptomining/