Gửi lúc: 28/02/2018 08:34:37
Bookmark and Share

Loại mã độc mới đánh cắp thông tin thẻ tín dụng qua các lệnh truy vấn DNS

Các nhà nghiên cứu của công ty an ninh mạng Forcepoint (Mỹ) vừa phát hiện ra một loại mã độc mới, sử dụng các trao đổi DNS qua giao thức User Datagram Protocol (UDP) để đánh cắp thông tin thẻ tín dụng từ các thiết bị thanh toán thẻ (PoS). Mã độc này được gọi là UDPoS.



Đây có thể là loại mã độc đầu tiên sử dụng các lệnh truy vấn hệ thống tên miền (Domain Name System – DNS) qua UDP để đánh cắp dữ liệu, thay vì sử dụng giao thức HTTP như các mã độc PoS khác. Ngoài ra, mã độc UDPoS còn giả danh là bản cập nhật của LogMeIn (phần mềm hợp lệ dùng để kiểm soát máy tính và các hệ thống từ xa) nhằm tránh bị phát hiện.

Bản mẫu của mã độc do các nhà nghiên cứu phân tích có kết nối tới máy chủ C&C tại Thuỵ Sĩ, chứ không phải tại những địa chỉ thường thấy khác (như Hoa Kỳ, Trung Quốc, Hàn Quốc, Triều Tiên, Thổ Nhĩ Kỳ hoặc Nga). Máy chủ lưu trữ một tệp tin dropper, khi giải nén sẽ chứa mã độc để phát tán. Cần lưu ý rằng, mã độc UDPoS chỉ có thể tấn công những hệ thống PoS cũ vẫn còn sử dụng LogMeIn.

Giống phần lớn các mã độc khác, UDPoS chủ động tìm kiếm các phần mềm diệt virus và máy ảo để vô hiệu hóa chúng. Các nhà nghiên cứu cho biết, họ không rõ điều này có phải là dấu hiệu của việc mã độc này đang ở giai đoạn phát triển/kiểm thử hay không.

Mặc dù không có dấu hiệu cho thấy UDPoS đang được khai thác trong thực tế để đánh cắp dữ liệu thẻ tín dụng hay thẻ ghi nợ, nhưng các thử nghiệm của Forcepoint cho thấy, mã độc này có thể hoàn toàn thực hiện những điều đó. Hơn nữa, trong quá trình điều tra, một trong các máy chủ C&C mà mẫu mã độc UDPoS kết nối vẫn hoạt động và gửi phản hồi cho thấy, tác giả của mã độc đã chuẩn bị cho việc phát tán mã độc.

Theo các nhà nghiên cứu của Forcepoint, việc chống lại mối đe dọa mới này không phải là dễ dàng, vì hầu hết các công ty đã có tường lửa, các giải pháp giám sát, lọc kết nối dựa trên các giao thức TCP và UDP, nhưng DNS vẫn chưa thực sự được quan tâm. Điều này sẽ tạo cơ hội cho kẻ xấu đánh cắp dữ liệu. Cần lưu ý, những kẻ xấu đằng sau mã độc này chưa xâm hại được dịch vụ LogMeIn mà chỉ giả danh nó. LogMeIn cũng đã đăng một bài viết để cảnh báo người dùng.

Năm 2017, một loại Trojan cho phép truy cập từ xa (Remote Access Trojan – RAT) có tên là DNSMessenger đã được phát hiện. Mã độc này sử dụng các truy vấn DNS để thực hiện các lệnh PowerShell độc hại trên những máy tính bị lây nhiễm. 

Nguyễn Anh (theo The Hacker News)