Microsoft Threat Intelligence đã phát hiện một chiến dịch đào tiền điện tử trộm cực kỳ tinh vi nhắm vào game thủ PC và những người đam mê phần cứng. Chiến dịch này sử dụng các kỹ thuật ẩn mình để bí mật chiếm đoạt tài nguyên hệ thống nhằm khai thác tiền điện tử — hoạt động ngay dưới mũi người dùng. Đây là dấu hiệu mới nhất cho thấy những kẻ tấn công đang tập trung vào phần cứng tiêu dùng mạnh mẽ thay vì các trung tâm dữ liệu.
Những gì Microsoft phát hiện
Chiến dịch này nổi bật nhờ mức độ tinh vi. Phần mềm độc hại tránh bị phát hiện bằng cách giả mạo các tiến trình hợp pháp và tự điều chỉnh hoạt động khi máy đang được sử dụng tích cực. Nhóm của Microsoft cho biết nó được thiết kế đặc biệt để khai thác các GPU và CPU cao cấp có trong các dàn máy chơi game và bản dựng dành cho người đam mê. Những kẻ tấn công dường như đã đầu tư công sức thực sự vào việc né tránh các chữ ký chống virus phổ biến và các công cụ giám sát hành vi.
Công ty chưa nêu tên họ phần mềm độc hại hoặc chia sẻ phân tích kỹ thuật chi tiết. Nhưng thông báo ban đầu — một dòng tóm tắt trong báo cáo tình báo về mối đe dọa — cho thấy Microsoft coi đây là một chiến dịch đủ nghiêm trọng để công khai cảnh báo. Thời điểm này không thuận lợi cho các game thủ vốn đang phải đối mặt với tình trạng khan hiếm phần cứng và giá linh kiện cao.
Ai nằm trong tầm ngắm
Game thủ PC và những người đam mê phần cứng là mục tiêu chính. Điều này hợp lý: một chiếc PC chơi game hiện đại có thể tiêu thụ năng lượng và sức mạnh tính toán ngang với một trại khai thác nhỏ. Những kẻ tấn công muốn có tốc độ băm đó mà không phải trả tiền điện hay làm mát. Chiến dịch dường như lây lan qua các game crack, trình cài đặt mod và phần mềm tải torrent — những loại tải xuống mà game thủ đôi khi lấy từ các cửa hàng không chính thức.
Microsoft chưa cho biết có bao nhiêu máy bị nhiễm hoặc khu vực nào bị ảnh hưởng nặng nhất. Nhưng mục tiêu rất chính xác. Đây không phải là một chiến dịch đào tiền điện tử trộm kiểu rải rác nhắm vào các trang web ngẫu nhiên. Đó là một chiến dịch tập trung nhằm vào những người có phần cứng đủ mạnh để việc khai thác trở nên có lợi nhuận.
Bối cảnh mối đe dọa rộng hơn
Đào tiền điện tử trộm đã tồn tại trong nhiều năm, nhưng nó đã tiến hóa. Các phiên bản đầu rất ồn ào — chúng đẩy mức sử dụng CPU lên 100% và ngay lập tức kích hoạt quạt tản nhiệt. Các chiến dịch hiện đại như thế này thì lặng lẽ hơn. Chúng tạm dừng khi bạn chơi game, sau đó tăng tốc khi bạn rời khỏi máy. Một số thậm chí kiểm tra hoạt động của chuột và bàn phím để ẩn mình.
Phát hiện của Microsoft cho thấy các tác nhân đe dọa vẫn coi đào tiền điện tử trộm là một nguồn thu nhập đáng tin cậy. Với giá tiền điện tử biến động và độ khó khai thác ngày càng tăng, việc đánh cắp sức mạnh tính toán của người khác rẻ hơn tự mua phần cứng. Chiến dịch này cũng làm nổi bật một lỗ hổng: các công cụ chống virus tiêu dùng thường bỏ sót phần mềm độc hại đào tiền điện tử trộm được viết tốt vì nó không hoạt động như ransomware hay trojan.
Microsoft chưa tiết lộ liệu chiến dịch đã bị vô hiệu hóa hay các chỉ số xâm nhập cụ thể đã được công bố hay chưa. Game thủ và những người đam mê nên cẩn thận khi tải phần mềm từ đâu — và có lẽ nên kiểm tra Task Manager thường xuyên hơn.
