Sơ đồ lây lan của virus đào tiền ảo thông qua Adf.ly. Ảnh: Bkav.
Adf.ly là dịch vụ rút gọn liên kết (đường link) có tích hợp dịch vụ quảng cáo. Người dùng sẽ phải xem qua quảng cáo rồi bấm vào nút Bỏ qua quảng cáo trước khi được chuyển đến trang đích. Lợi dụng điều này, hacker đã chèn mã độc để lây nhiễm virus xuống máy tính người dùng.
Sau đó, virus sẽ chiếm quyền điều khiển và sử dụng máy tính của nạn nhân để đảo tiền ảo. Nguy hiểm hơn, vì đã chiếm được quyền điều khiển máy tính nên virus có thể tải thêm mã độc khác từ server điều khiển của hacker, nhằm thực hiện các hành vi gián điệp, ăn cắp thông tin cá nhân hay thậm chí là xóa dữ liệu. Trong khi người dùng khó đề phòng vì vẫn xem được nội dung từ link rút gọn.
Bên cạnh Adf.ly, hacker còn lợi dụng lỗ hổng SMB để phát tán virus trên diện rộng. Lỗ hổng SMB từng bị khai thác bởi mã độc WannaCry, lây nhiễm hơn 300.000 máy tính chỉ trong vài giờ. Theo thống kê của Bkav, có tới hơn một nửa số máy tính tại Việt Nam tồn tại lỗ hổng này.
"Như đã dự đoán từ cuối 2017, mã độc tiền ảo thực sự bùng phát trong 2018 và sẽ còn tiếp diễn với cường độ ngày càng cao", ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) của Bkav, cho biết. "Nguồn lợi hấp dẫn từ tiền ảo mang lại là động cơ phát tán virus của hacker".
"Mã độc và các chương trình đào tiền ảo lây lan trên máy tính tại Việt Nam đã có từ vài năm qua song với việc giá tiền ảo tăng cao thì số lượng thiết bị bị nhiễm trở nên nhiều hơn", chuyên gia bảo mật độc lập Nguyễn Hồng Phúc, cho biết. "Chương trình thường tồn tại dưới dạng Java Scrip chạy trên nền web hoặc malware cài trên máy".
Theo ông Phúc, một số chương trình đào tiền ảo được viết kỹ lưỡng, chỉ chạy khi máy tính của nạn nhân ở chế độ nghỉ (idle) nên người dùng khó phát hiện ra.
Tuy nhiên vẫn có mã độc đào tiền ảo chạy ngay khi xâm nhập vào máy tính và tận dung tối đa tài nguyên xử lý trên thiết bị của nạn nhân.
Để hạn chế mã độc đào tiền ảo, ông Phúc khuyến cáo người dùng có thể cài một số plug-in cho trình duyệt để chặn Java Scrip đào tiền ảo. Ngoài ra không tải các ứng dụng từ nguồn không rõ ràng, các ứng dụng "lậu", phần mềm bẻ khoá. Cài chương trình diệt virus tin cậy và cập nhật dữ liệu mới nhất cũng là điều nên làm.
Đầu 3/2018, hệ thống giám sát CyRadar ghi nhận liên tục các gói tin tấn công giao thức chia sẻ file SMB gửi qua lại giữa các máy tính trong mạng của nhiều doanh nghiệp, tổ chức trong nước.
Mã độc này có khả năng kết nối tới server điều khiển, sẵn sàng nhận lệnh, tải file, hoạt động như một backdoor thông thường. Ngoài ra, nó còn có chức năng khai thác tài nguyên của máy bị nhiễm để đào tiền ảo.