Tổng quan về mã độc đào tiền ảo
6 year ago 2808

 













































































































































































Ngày



Tổng
quan về mã độc đào tiền mã hóa (tiền ảo)



Ghi chú



22/06/2018



Avira là công ty
bảo mật mạng đầu tiên chấp nhận thanh toán bằng Bitcoin và Bitcoin Cash từ
BitPay (Một nhà cung cấp dịch vụ thanh toán bằng tiền điện tử kỹ thuật số,
Bitpay cũng đã phát hành thẻ Visa prepaid liên kết Bitcoin hơn 131 quốc gia
trên toàn thế giới)



Xem
chi tiết



19/06/2018



Theo thông báo
chính thức trên Twitter, Bithumb là sàn giao dịch tiền mã hóa lớn nhất tại
Hàn Quốc, và cũng nằm trong top các sàn giao dịch lớn tại Châu Á, cho biết họ
đã bị hacker tấn công và đánh cắp số tiền mã hóa trị giá hơn 30 triệu USD,
nguyên nhân có thể do việc Bithumb thay đổi các tài khoản ví nóng để tăng
cường bảo mật, nhưng có thể một trong số các ví nóng này bị hacker chiếm được
quyền truy cập. Bithumb cam kết hoàn trả lại cho nhà đầu tư, toàn bộ tài sản
khác đã được chuyển vào ví lạnh để tránh thiệt hại nặng nề hơn.



 



11/06/2018



Theo báo cáo
chuyên sâu của Palo Alto Networks, ít nhất khoảng 5% đồng Monero đang lưu
hành được khai thác liên quan đến phần mềm độc hại. Cũng theo báo cáo,
629.126 mẫu phần mềm độc hại đã được phát hiện như là một phần của hoạt động
khai thác tiền ảo (không bao gồm các trình khai thác trong trình duyệt -
cryptojackers), các nhóm tội phạm đã khai thác tổng cộng khoảng 798,613.33
tiền xu Monero (XMR) - tương đương 108 triệu đô la Mỹ và 84% mã độc đào tiền
ảo đểu khai thác đồng Monero. Một số dòng phần mềm độc hại (và Botnet) khai
thác Monero hiện nay bao gồm: Digmine, Hexmen, Loapi, Zealot, WaterMiner,
CodeFork, Bondnet, Adylkuzz, CoinMiner, Linux.BTCMine.26, Zminer,
DevilRobber, PyCryptoMiner, RubyMiner, DB.Miner, WannaMine, Smominru...



Xem
chi tiết



10/06/2018



Coinrail, mộ
sàn giao dịch tiền điện tử của Hàn Quốc vừa công bố vào ngày Chủ nhật bị xâm
nhập và bị đanh cắp một số lượng lớn mã ICO được lưu trữ trên các máy chủ
liên quan đến các đồng Pundi X (NPXS), NPER (NPER) và Aston (ATX). Hiện
Coinrail đang bảo trì và chuyển hết tài sản điện tử về ví lạnh.  Coinrail không tiết lộ số tiền bị đánh cắp,
nhưng người dùng trên một diễn đàn Bitcoin nổi bật đã theo dõi một số địa chỉ
bị cáo buộc của tin tặc và tin rằng tin tặc có thể đã đánh cắp các khoản tiền
trị giá từ 30 đến 40 triệu đô la.



Xem
chi tiết



09/06/2018



Mã độc đào tiền
ảo mới DB.Miner đã khai thác chức năng
gỡ lỗi ADB của Android (bao gồm điện thoại thông minh, TV thông minh, DVR)
khi kết nối thiết bị của họ thông qua kết nối USB . Mặc định của hệ điều hành
Android, tính năng của ADB bị tắt và người dùng cần bật theo cách thủ công, ngoài
ra gỡ lỗi ADB cũng hỗ trợ một trạng thái có tên "ADB qua WiFi" cho
phép các nhà phát triển kết nối với một thiết bị thông qua kết nối WiFi thay
vì cáp USB mặc định. Thiết bị Android bị nhiễm DB.Miner sẽ mở cổng TCP 5555
cho phép kết nối từ xa. Đã có 15,600 thiết bị bị lây nhiễm, nhiều nhất là Mỹ,
Hồng Kông và Hàn Quốc . Sau khi phân tích, DB.Miner có bộ mã giống Mirai và
khai thác đồng Monero.


ADB viết tắt cho
Android Debug Bridge (tạm dịch: công cụ sửa Android) là một phần của tiêu
chuẩn Android SDK, ADB cung cấp giao diện dòng lệnh, giúp người dùng điều
khiển thiết bị với file hệ thống trên điện thoại. Do hệ điều hành Android dựa
trên Linux nên để thực hiện được những hoạt động cấp cao như khi root máy thì
cẩn phải có các dòng lệnh. Nhưng việc thực hiện những câu lệnh phức tạp này
trên màn hình nhỏ như điện thoại sẽ rất khó khăn nên ADB được phát triển nhằm
kết nối điện thoại với máy tính cho phép thực hiện các thao tác hệ thống trên
màn hình lớn của máy tính.


Update
11/06/2018:
ADB.Miner hiện đang lây nhiễm các thiết bị Amazon
Fire TV và Fire TV Stick. Xem hướng dẫn gỡ bỏ và phòng tránh:  Link



Xem
chi tiết



24/05/2018



Verge tiếp tục bị tấn công kéo dài
trong vài giờ, với khoảng thời gian này, hacker đã sử dụng một khai thác để
thay đổi các mốc thời gian của các hoạt động khai thác và cho phép chính mình
khai thác các đồng tiền XVG, nhưng gây trì hoãn hoặc thiệt hại cho những
người dùng khác. Hacker đã khai thác hơn 35 triệu đồng tiền XVG chỉ trong vài
giờ với lợi nhuận 1,65 triệu USD. Ban đầu nhóm phát triển Verge đã không nhận
ra cuộc tấn công, gọi nó là một DDoS trên các bể khai thác tiền ảo XVG.



Verger
Twitter



21/05/2018



Hacker đã đánh cắp 1,35 triệu USD
giá trị đồng Ether từ ứng dụng giao dịch tiền điện tử Taylor. Bên cạnh Ether
bị đánh cắp, hacker cũng đã lấy cắp một số mã TAY mà nhóm Taylor đã tạo ra
cho ICO. Các nhà đầu tư nên tỉnh táo vì 
ICO với 99% đa phần là lừa đảo, ngoài ra hạ tầng cơ sở bảo mật kém của
dự án cũng là rủi ro. 


Trước đó một kẻ tấn công đã khai
thác một lỗi trong mã mạng điện tử tiền tệ Verge để khai thác tiền xu Verge
với tốc độ rất nhanh (1.560 đồng tiền Verge (XVG) mỗi giây , tương đương
78$/s) và tạo ra tiền ảo này rất dễ dàng (hacker đã kiếm được 780.000 USD
trong vòng 03 giờ). Theo CoinMarketCap, Verge là tiền điện tử lớn nhất thứ 21
dựa trên vốn hóa thị trường. Tháng 09/2017, người dùng Verge cũng bị hacker
đánh cắp tiền điện tử Verge trị giá khoảng 655.000 USD.



Xem chi tiết


Verger Twitter



16/05/2018



Qihoo 360 Total Security đã phát
hiện một phần mềm độc hại mới là WinstarNssmMiner đang lây nhiễm
khoảng 500.000 nạn nhân chỉ trong ba ngày, malware này được cho là sẽ tận
dụng toàn bộ tài nguyên hệ thống để đào tiền mã hóa Monero, đồng thời nó còn
được trang bị kỹ thuật bảo vệ để qua mặt các giải pháp antivirus và đảm bảo
người dùng không thể đóng các tiến trình (process) của nó. WinstarNssmMiner
khi lây nhiễm vào hệ thống sẽ tạo ra hai tiến trình hệ thống svchost.exe khác
nhau, một trong hai tiến trình sẽ đào tiền mã hóa, tiến trình còn lại đóng
vai trò nếu phát hiện ra các trình antivirus tiến hành quét hệ thống, nó sẽ
ngay lập tức ngừng mọi hành động lại. Bên cạnh đó Qihoo 360 Total Security đã
phát hiện ra thay vì lén lút khai thác Monero trên máy chủ bị nhiễm, một
mlaware mới là IdleBuddyMiner yêu cầu kích hoạt
cho phép chạy thông qua cửa sổ popup bật lên.



Xem
chi tiết



15/05/2018



Mshelper là một malware mới được phát hiện để khai thác tiền
điện tử hoặc quảng cáo popup trên máy tính hệ điều hành MacOS  của nạn nhân đang lây lan với tốc độ chóng
mặt trong thời gian gần đây. Mshelper xuất hiện dày đặc trên diễn đàn hỗ trợ
của Apple và mạng Reddit, malware này sẽ gây tốn tài nguyên trên hệ điều hành
MacOS và khiến quạt hoạt động liên tục để làm mát CPU, đồng thời pin sẽ bị
tiêu hao nhanh hơn bình thường. Trong trường hợp máy tính gặp hiện tượng trên
bạn hãy kiểm
tra và loại bỏ Mshelper trên MacOS



Xem chi tiết


Github



02/05/2018



Một
phần mềm độc hại mới khai thác tiền mã hóa gọi là
MassMiner lây nhiễm các Máy chủ web với hàng loạt khai thác khác
như: CVE-2017-10271 (Oracle
WebLogic), CVE-2017-0143
(EternalBlue, dùng để cài đặt DoublePulsar), CVE-2017-5638 (Apache Struts) và SQLck (một công cụ để thực hiện các cuộc tấn công vào cơ sở dữ
liệu Microsoft SQL)



Xem
chi tiết



24/04/2018



PyroMine, mã độc đào tiền ảo mới
được biên soạn với công cụ PyInstaller ( nhưng nạn nhân không cần cài đặt
Python) sử dụng công cụ khai thác ETERNALROMANCE để lây nhiễm trên máy Windows.
Ngoài ra PyroMine rất nguy hiểm vì nó có thể kích hoạt dịch vụ Remote Desktop
Protocol (RDP: là giao thức điều khiển máy tính từ xa). Mã độc cài đặt một
tài khoản mặc định có mật khẩu là “P@ssw0rdf0rme” và thêm tài khoản này vào
những nhóm nội bộ: ‘Administrators,’ ‘Remote Desktop Users,’ và ‘Users,’. Sau
đó nó kích hoạt RDP và thêm vào một quy tắc tường lửa (firewall) để cho phép
lưu lượng chạy qua RDP trên cổng 3389, nó cũng ngưng trình làm việc của
Windows Update Service và bắt đầu chạy dịch vụ Remote Access Connection
Manager. Sau đó mã độc cấu hình lại Windows Remote Management Service để kích
hoạt các quyền truy cập cơ bản, cho phép chuyển dữ liệu không mã hóa và mở
máy cho các cuộc tấn công tiềm năng tiếp theo.



Bài
viết



17/04/2018



Phiên bản mới của XiaoBa ransomware được chỉnh sửa cho
phép cài đặt coinminer khai thác tiền ảo bằng cách chèn một bản sao
JavaScript Coinhive bên trong các tệp HTML vào máy tính bị nhiễm. (XIAOBAMINER - RANSOMINER)



 



13/04/2018



Coinsecure, một
sàn giao dịch tiền ảo của Ấn Độ, hiện có hơn 200.000 người dùng giao dịch
trên nền tảng của nó mỗi ngày – cho biết gần 3 triệu USD tiền ảo đã bị đánh
cắp từ ví bitcoin của nó, con số lớn nhất được báo cáo cho đến nay trên thị
trường tiền ảo non trẻ của đất nước này.



 



05/04/2018



Avast ra mắt trình duyệt web riêng
gọi là Avast Secure Browser (ASB) nhằm
bảo vệ sự riêng tư trực tuyến của người dùng, các tính năng mà A SB cung cấp
bao gồm trình quản lý mật khẩu tích hợp , chế độ ngân hàng, chế độ bí mật,
chống lừa đảo, bảo vệ mở rộng , mã hóa HTTPS và tích hợp trình download của
YouTube. Hiện tại ASB tương thích với Windows 10, 8, 7, các phiên bản di động
cho iOS và Android được dự kiến phát hành trong năm 2018.



Xem
chi tiết



15/03/2018



Google và Facebook sẽ cấm tất cả
các quảng cáo liên quan đến tiền ảo và ICO, trong khi Reddit đã đi tiên phong
từ năm 2016.



 



14/03/2018



Phát hiện Calendar 2 là ứng dụng
trên Mac App Store được phát hiện có chứa mã đào tiền ảo và kiếm được hơn
2.000 USD chỉ trong 3 ngày



 



13/03/2018



Hơn 644.000 thiết bị nhiễm mã độc
đào tiền ảo mỗi ngày là con số thống kê do Microsoft công bố.



Xem
chi tiết



09/03/2018



Một cuộc tấn công cryptojacking
mới do nhóm Imperva sử dụng cả khai thác EternalBlue SMB và bộ nhớ cache
Redis với mã hóa cực kỳ phức tạp được gọi là RedisWannaMine đã tấn công và lan
rộng  nhằm vào cả hai máy chủ cơ sở dữ
liệu và máy chủ ứng dụng (dựa trên lỗ hổng CEV-2017-9805).  Cuộc tấn công cryptojacking thứ 2 được thực
hiện bởi nhóm ISC SANS nhắm mục tiêu tấn công đến máy chủ Apache Solr (dựa
trên lỗ hổng CEV-2017-12629). Đã có hơn 11.000 máy chủ bị ảnh hưởng bao gồm
1.777 máy chủ Apache Solr. Trong khi Redis và Windows Server là các hệ thống
độc lập dễ vá hơn thì Apache Solr (các máy chủ tìm kiếm) nằm trong nhiều
trường hợp được nhúng vào phần mềm phức tạp hơn, nên việc vá lỗi không dễ
dàng vì nó cập nhật đôi khi Solr có thể phá vỡ các hệ thống bên trong phụ
thuộc vào nó.


Cryptojacking
khái niệm máy tính cá nhân bị lợi dụng làm công cụ khai thác (hoặc đào) tiền
ảo (tiền mã hóa) một cách bí mật  mà
không có sự cho phép của người dùng. Tin tặc không cần cài đặt bất cứ phần
mềm nào trên thiết bị nhưng người dùng vẫn có thể bị xâm phạm tài khoản từ
nhiều nguồn khác nhau. 



Xem
chi tiết



28/02/2018



Mặc dù thiên về trải nghiệm chứ không vì mục
đích kiếm tiền nhưng
đồng sáng lập Steve Wozniak của Apple đã tham gia đầu tư
vào Bitcoin bị kẻ xấu lừa lấy cắp 7 đồng Bitcoin từ ví điện tử của
ông.



 



22/08/2018



Tỷ phú Elon Musk đã trở thành nạn nhân với
vấn nạn lừa đảo tiền mã hóa trên mạng internet bằng cách giả mạo những người
nổi tiếng. Kẻ lừa đảo tạo một tài khoản Elon Musk giả mạo trên Twitter (sau
khi tỷ phú Elon Musk chia sẻ về việc phóng thành công tên lửa Falcon và 2 vệ
tinh thử nghiệm của SpaceX) sau đó kêu gọi mọi người chuyển Ethereum vào ví
này với lời hứa sẽ đáp lại bằng một khoản tiền lớn. Kiểm tra ví của những kẻ
lừa đảo, có thể thấy khoảng 20 ETH đã được chuyển đến (tương đương khoảng
16.424 USD)



 



15/02/2018



Theo Europol đưa
ra, tội phạm Châu Âu đã rửa 5.5 tỷ USD thông qua tiền ảo.



 



14/02/2018



CoinHoarder, một chiến dịch
đánh cắp Bitcoin bằng cách khai thác quảng cáo của Google Adword bằng cách
khai thác các kết quả tìm kiếm trên Google và dẫn đến các trang web lừa đảo
để người dùng có thể nhấp vào truy cập vào ( ví dụ như thay vì
blockchain.info, tin tặc sẽ sử dụng tên miền blockchalna.info và chạy quảng
cáo các từ khóa liên quan để lấy cắp thông tin đăng nhập từ ví Bitcoin của
người dùng)



 



13/02/2018



Sàn giao dịch
tiền ảo BitGrail có trụ sở ở
Italia thông báo vừa bị mất 17 triệu Nano (XRB) tiền ảo trị giá khoảng 195
triệu USD



 



12/02/2018



Sergey Medvedev,
31 tuổi, là đồng sáng lập của Infraud - trang web này chuyên buôn bán thông
tin đánh cắp, thẻ tín dụng giả, các thiết bị dùng đánh cắp thông tin thẻ tín
dụng… và nhiều hoạt động ngầm khác (
một dạng eBay
dành cho giới tội phạm mạng)
đã bị hàng chục cảnh sát Thái Lan có vũ trang đã tập kích và bắt
giữ vì tội gian lận trực tuyến,
số tài sản bị thu giữ còn có hơn 100.000 bitcoin, tương
đương giá trị 840 triệu USD. Svyatoslav Bondarenko – nhà sáng lập Infraud
hiện đang bỏ trốn.



 



06/02/2018



Xuất hiện biến
thể mới của WannaCry là Black
Ruby
,
tấn
công vào máy tính của người dùng, cài đặt phần mềm độc hại
, kết hợp giữa
việc
mã hóa thiết bị đòi tiền chuộc
đào tiền ảo.



 



01/02/2017



Tòa án Mỹ mới đây đã ban hành lệnh cách ly tạm thời
(TRO) đóng băng các tài sản của BitConnect sau khi đơn kiện thứ hai được khởi
tố nhằm vào sàn giao dịch và cho vay tiền mã hóa vào ngày
29/01/2018. Trước đó Bitconnect bị kiện bởi 6 nhà đầu tư vì khiến họ
mất 700.000 USD.



 



31/01/2018



Phát hiện Botnet khai thác tiền
mã hóa không lồ có tên gọi là
Smominru, đã lây nhiễm ra ít nhất nửa triệu máy tính, hầu hết là server (máy chủ)
Windows, và lây lan bằng EternalBlue - một phương thức khai thác lỗ hổng
như  WannaCry.
Kể từ khi hoạt động
vào tháng 5/2017 tới nay, Smominru đã mang về khoảng 3,6 triệu USD cho
chủ nhân của nó (mỗi ngày Smominru lại khai thác được khoảng 24 Monerro,
tương đương 8.500 USD). Hiện Smominru "sở hữu" hơn 526.000 máy chủ,
mạng botnet này lớn gấp đôi so với botnet đào tiền mã hóa Adylkuzz trước đây.
Ngoài ra Smominru sử dụng trên 25 máy chủ để quét và dò tìm những máy chủ  Windows sử dụng phương thức khai thác
EsteemAudit cho lỗ hổng trong RDP trên Windows Server 2003 và Windows XP để
tăng thêm số nút cho botnet. Tại Việt Nam, Smominru đã lây nhiễm khoảng 10.796 máy tính.



Xem
chi tiết



27/01/2018



Phát hiện mã độc đào tiền ảo ẩn
trên quảng cáo của Youtube, Google đã thực hiện gỡ bỏ ngay sau đó.


 



 



26/01/2018



Một trong những sàn giao dịch
tiền mã hóa lớn nhất của Nhật Bản là
Coincheck vừa bị hacker xâm nhập và đánh
cắp một số tiền mã hóa trị giá hơn 500 triệu USD. Loại tiền bị đánh cắp là
NEM, mỗi đồng có giá trị gần 1.000 USD và
đã làm ảnh hưởng tới hơn
260.000 nhà đầu tư. Đây cũng là vụ hacker tấn công nghiêm trọng nhất trong
lịch sử thị trường cryptocurrency.



 



25/01/2018



Mã độc đào tiền ảo WannaMine gia tăng hoạt động mạnh vài
tháng qua gây tê liệt hoạt động của các doanh nghiệp trong nhiều ngày thậm
chí là nhiều tuần.
Với cơ chế lây nhiễm tàng hình (fileless) - mã độc này được
thiết kế để không bị phát hiện ổ cứng và làm việc từ RAM, WannaMine lợi dụng
các thành phần hỗ trợ Windows được cài sẵn như WMI (Windows Management
Instrumentation) và trình PowerShell để qua mắt các công cụ dò tìm virus, nó không
cần tiến hành tải về hay sử dụng bất kì tập tin nào để phát tán mã độc. 
WannaMine cũng sử dụng những kỹ thuật cao cấp để
lây nhiễm từ máy này sang máy khác trong cùng hệ thống. Đầu tiên, nó dùng
công cụ Mimiktaz để trích xuất thông tin đăng nhập vào một hệ thống. Nếu
thông tin sai, đăng nhập thất bại, nó sẽ tiến hành khai thác lỗ hổng
EternalBlue để tấn công hệ thống từ xa. Máy tính người dùng bị nhiễm
WannaMine từ những đường dẫn độc hại trong email hoặc website. Tin tặc cũng
có thể khởi chạy một truy cập từ xa để tấn công mục tiêu.
Các công ty bị xâm nhập đã rất khó khăn trong việc phát
hiện mã độc.



Xem
chi tiết



13/01/2018



Ví tiền điện Blackwallet đã bị hack hơn 400.000 USD (669.920 Lumens tiền ảo) khi hacker tấn
công máy chủ DNS của BlackWallet, chiếm quyền kiểm soát, thay đổi cài đặt và
chuyển hướng tới máy chủ bên thứ ba.



 



10/01/2018



Máy chủ ứng dụng Web Oracle bị haacker tấn công , lợi
dụng đào tiền mã hóa thu về lợi nhận cho hacker hơn 226.000 USD



 



08/01/2018



Sàn Bitconnect đã nhận được yêu cầu dừng
hoạt động tại các bang Texas và Carolina tại Mỹ. Bitconnect là một trong
những nền tảng cho vay tiền mã hóa phổ biến nhất trên thế giới hiện nay với
nền tảng Lending (cho vay) và MLM (Multi-level Marketing - đa cấp). Không chỉ
phổ biến trên thế giới, Bitconnect cũng được rất nhiều nhà đầu tư tại Việt
Nam biết đến và tham gia, ước tính có khoảng 50.000 thành viên của cộng
đồng BBC Việt Nam có nguy cơ trắng tay với tổng tiền đầu tư hàng
nghìn tỉ.