Phát hiện mã độc nhờ tiếng quạt máy tính

[nguoiduatinabc]

Nghe tiếng quạt máy tính bất thường. Một kỹ sư bảo mật phát hiện thiết bị của mình đang truy cập vào website bị cài mã độc đào tiền số.

Trên máy tính Windows, quạt tản nhiệt thường quay với tốc độ cao khi CPU xử lý tác vụ nặng hoặc khi hệ điều hành thực hiện cập nhật. "Tuy nhiên hôm đó, quạt đột nhiên quay tít và hơn ba phút trôi qua vẫn chạy hết tốc độ".

Như nhiều người dùng Windows khác, anh lập tức mở công cụ Process Explorer để kiểm tra nhưng không phát hiện bất cứ tiến trình nào liên quan đến Windows Update cần sử dụng nhiều tài nguyên. Thay vào đó, một tiến trình của trình duyệt Chrome lại đang sử dụng tới gần 50% CPU.



Tiếp tục kiểm tra sâu hơn bằng công cụ Task Manager trên Chrome, whf phát hiện trình duyệt đang tương tác với trang web autofaucet. Đây là website cho phép người dùng thực hiện các nhiệm vụ hoặc chèn mã vào các website để nhận tiền điện tử. Điều bất thường là anh chưa từng truy cập trang web này.

Bằng một số thao tác đối chiếu với các website đã mở trước đó, cùng công cụ DevTools, kỹ sư này nhận ra một một trang web khác mà mình từng truy cập. Bất cứ khi nào tải trang này, một yêu cầu cũng sẽ được chuyển đến autofaucet.

"Đến đây có thể hình dung phần nào vấn đề. Website đó bị khai thác, chèn mã độc đào tiền ảo. Khi tôi truy cập website, mã độc được kích hoạt để đào tiền ảo ngay từ trình duyệt dẫn đến quạt CPU quay tít".

Theo thành viên này, có hai nguyên nhân dẫn đến việc website trên bị cài mã độc. Đầu tiên, do trang này được phát triển dựa trên WordPress 5.3.2, một phiên bản đã cũ và tồn tại nhiều lỗ hổng, từ đó dẫn đến việc có thể bị khai thác. Ngoài ra, không loại trừ khả năng chính quản trị viên của trang đã chèn mã độc vào.

Hình thức sử dụng mã độc để đào tiền ảo còn được gọi là cryptojacking. Hacker phát tán mã độc vào máy tính, lợi dụng tài nguyên thiết bị để đào tiền số. Mã độc dạng này phần lớn không gây hại cho dữ liệu của nạn nhân, nhưng gây tốn tiền điện, giảm tuổi thọ thiết bị và là hành động bất hợp pháp.

Cryptojacking đã xuất hiện ở Việt Nam nhiều năm nay. Một báo cáo của Bkav từ năm 2018 đã cho thấy có hơn 139.000 thiết bị trong nước nhiễm phần mềm đào tiền ảo có tên W32.AdCoinMiner. Hình thức tấn công này đang ngày càng nở rộ sau khi giá nhiều loại tiền số tăng mạnh vào năm ngoái.

Theo Globalsign, có hai cách hoạt động chính của mã độc đào tiền ảo. Một là thông qua việc cài ứng dụng bí mật lên máy tính và âm thầm khai thác bất cứ khi nào thiết bị kết nối Internet. Thứ hai là sử dụng tập lệnh được nhúng trong các website để chạy phần mềm khai thác trên trình duyệt của nạn nhân. Trường hợp của wfh có thể xếp vào nhóm thứ hai.

Một số dấu hiệu nhận biết máy tính dính mã độc đào tiền ảo có thể kể đến như: tiền điện tăng bất thường, máy tính hoặc bộ định tuyến bị quá nhiệt, hoạt động chậm hoặc quá tải.