Phần mềm độc hại BOINC

Bảo vệ thiết bị khỏi các mối đe dọa phần mềm độc hại là rất quan trọng để duy trì cả tính bảo mật và chức năng. Gần đây, tội phạm mạng đã khai thác BOINC (Cơ sở hạ tầng mở cho máy tính mạng Berkeley), một tiện ích hợp pháp cho các dự án điện toán phân tán, để thực hiện các hoạt động đe dọa trên các hệ thống bị lây nhiễm. Lưu ý rằng đây không phải là lỗ hổng trong BOINC; thay vào đó, phần mềm độc hại cài đặt trái phép BOINC để thực hiện các hoạt động của nó.

Cài đặt và thực thi

Phần mềm độc hại tải BOINC lên thiết bị của người dùng mà không có sự đồng ý bằng cách sử dụng tải trọng của bên thứ ba. Phương pháp này bỏ qua các quy trình cài đặt thông thường, đảm bảo BOINC được cài đặt một cách lén lút. Các tệp nhị phân được sử dụng được lấy trực tiếp từ trình cài đặt BOINC 8.0.2 chính thức, mặc dù bản thân trình cài đặt không được sử dụng trực tiếp trong quá trình cài đặt.

Hoạt động đe dọa

Sau khi cài đặt, phần mềm độc hại sẽ bắt đầu một số hoạt động không an toàn:

• Tạo người dùng Windows ẩn : Có những báo cáo chưa được xác nhận về việc một người dùng Windows ẩn được tạo, điều này có khả năng tạo điều kiện cho việc truy cập trái phép hơn nữa.
• Cài đặt dịch vụ : Phần mềm có hại được cài đặt dưới dạng dịch vụ trên hệ thống bị nhiễm, mặc dù các chi tiết cụ thể như tên dịch vụ hiện chưa được tiết lộ.
• Phân phối tệp : Nhiều bản sao BOINC được tải xuống thư mục 'C:\USERNAME\AppData\Roaming' và các thư mục con của nó, lan rộng sự hiện diện của nó trên toàn hệ thống.
• Đổi tên có thể thực thi : Các tệp thực thi của máy khách BOINC được đổi tên thành các tên quy trình hệ thống phổ biến như '.exe,' 'gupdate.exe,' 'SecurityHealthService.exe' và 'trustedinstaller.exe.' Việc ngụy trang này nhằm mục đích tránh bị phát hiện và trà trộn vào các quy trình hợp pháp.
• Tạo máy chủ giả : Một máy chủ BOINC giả giống với máy chủ Rosetta@home hợp pháp đã được báo cáo. Mặc dù tên của nó vẫn chưa được tiết lộ vì lý do bảo mật nhưng máy chủ này bắt chước một dự án hợp pháp để có khả năng đánh lừa người dùng và thực hiện các hành động trái phép.

Phân phối và tác động

Phương thức phân phối của phần mềm độc hại này vẫn chưa rõ ràng và các nạn nhân suy đoán rằng nó có thể được liên kết với các kết nối với mạng Wi-Fi công cộng. Chiến dịch này dường như nhắm mục tiêu cụ thể đến người dùng ở Hoa Kỳ, ảnh hưởng đến khoảng 7.000 thiết bị Windows theo báo cáo của máy chủ dự án giả mạo.

Lời khuyên về giảm nhẹ và loại bỏ

Các nhà nghiên cứu đề xuất các bước sau để giảm thiểu tác động của phần mềm độc hại này:

• Dọn dẹp Trình lập lịch tác vụ : Kiểm tra và xóa mọi mục nhập trong Trình lập lịch tác vụ thực thi mã khỏi thư mục 'Chuyển vùng'. Các mục nhập này có thể được ngụy trang dưới dạng các quy trình hợp pháp như các bản cập nhật của Mozilla hoặc Google hoặc có thể chỉ bao gồm một dấu gạch dưới theo sau là các số.
• Xóa tệp : Xóa tất cả các tệp không mong muốn được lưu trữ trong thư mục 'Chuyển vùng' và các thư mục con của nó. Người dùng có thể cần chấm dứt các quá trình bằng 'Trình quản lý tác vụ' để đảm bảo tất cả các tệp không an toàn có thể bị xóa một cách an toàn.

Bằng cách thực hiện các biện pháp phòng ngừa này và duy trì cảnh giác trước các hoạt động và cài đặt đáng ngờ, người dùng có thể giúp bảo vệ thiết bị của mình khỏi tác động của phần mềm đe dọa như phần mềm độc hại BOINC.