Electrum Botnet lây nhiễm hơn 152,000 người dùng, đánh cắp 4,6 triệu đô la

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Electrum Botnet lây nhiễm hơn 152,000 người dùng; đánh cắp 4,6 triệu đô la
Cảnh báo của ứng dụng Ví Electrum tới người dùng

Hiện tại ví Electrum Bitcoin đang bị tấn công và số lượng ví nhiễm độc ngày càng tăng cao. Những kẻ tấn công hiện đang nhắm mục tiêu vào toàn bộ cơ sở hạ tầng của sàn giao dịch, chúng sử dụng một botnet gây lây nhiễm tới hơn 152.000 người dùng, nâng số tiền bị đánh cắp lên đến 4,6 triệu đô.

Electrum hiện đang phải đối mặt với các cuộc tấn công mạng kéo dài từ tháng 12 năm ngoái khi một nhóm tội phạm mạng khai thác điểm yếu trong cơ sở hạ tầng của ví Electrum để lừa người dùng ví tải xuống các phiên bản phần mềm độc hại.

Nói ngắn gọn thì những kẻ tấn công này đã thêm một số máy chủ độc hại vào 1 mạng lưới được thiết kế để hiển thị lỗi cho các ứng dụng ví Electrum hợp pháp, qua đó hối thúc người dùng tải xuống bản cập nhật phần mềm ví độc hại từ một kho lưu trữ Github không chính thức.

Kết quả là những kẻ tấn công đã ăn cắp được tiền trong ví (gần 250 Bitcoin, tương đương với khoảng 937.000 đô la tại thời điểm đó) và kiểm soát hoàn toàn các hệ thống bị nhiễm.

Kẻ phá hoại ranh ma

Để ngăn chặn cuộc tấn công này, các nhà phát triển Electrum đã sử dụng kỹ thuật tương tự giống như cách thức những kẻ tấn công đã làm để khuyến khích người dùng tải xuống phiên bản vá mới nhất của ứng dụng ví. Họ đã khai thác lỗ hổng DOS trong các máy khách đó, để buộc người dùng nâng cấp và tránh tiếp xúc với các tin nhắn lừa đảo.

Ứng phó với điều này, những kẻ tấn công sau đó đã bắt đầu phá hoại DDoS (Distributed Denial Of Service) của các máy chủ Electrum hợp pháp nhằm lừa các khách hàng cũ kết nối với các nút độc hại, trong khi đó các nút hợp pháp thì trở nên quá tải.

Theo một của nhóm nghiên cứu của Malwarebytes Labs, số lượng máy bị nhiễm do tải xuống phần mềm máy khách độc hại và vô tình vướng vào các cuộc tấn công DDoS đã lên tới 152.000, trong khi con số của tuần trước là 100,000.

Về cơ bản, những kẻ đứng đằng sau các chiến dịch này đang phân phối một phần mềm độc hại botnet, có tên là “ElectrumDoSMiner”, bằng cách tận dụng chủ yếu bộ công cụ khai thác RIG, Trình tải khói và trình tải mới của BeamWinHTTP cũ không có giấy tờ. Theo các nhà nghiên cứu, các bot DDoS Electrum được cho là tập trung nhiều nhất ở các khu vực Châu Á Thái Bình Dương (APAC), Brazil và Peru, với các botnet liên tục phát triển.

Số lượng nạn nhân không ngừng tăng lên

Các nhà nghiên cứu cho biết số lượng nạn nhân của botnet này liên tục dao động. Trong khi một số máy được khử độc thì những máy mới bị nhiễm cùng hoạt động với những máy khác để thực hiện các cuộc tấn công DDoS. Mỗi ngày, Malwarebytes phát hiện và loại bỏ nhiễm độc ElectrumDoSMiner trên 2.000 điểm cuối.

Vì các phiên bản cập nhật của ví Electrum không dễ bị tấn công lừa đảo, nên người dùng cần cập nhật ứng dụng ví của họ bằng cách tải xuống phiên bản mới nhất (3.3.4) từ trang web chính thức của electrum.org. Trong khi đó, người dùng ứng dụng ví Electrum được khuyên nên tắt tính năng tự động kết nối và chọn máy chủ của họ theo cách thủ công để tránh các cuộc tấn công DDoS.

THN