Mã độc mới kết hợp các chủng loại Mã độc tống tiền, Đào tiền ảo và Botnet

14:00 | 27/09/2018 | HACKER / MALWARE

Một mã độc mới bị phát hiện vừa có khả năng tống tiền (ransomware), đào tiền ảo (coin mining) vừa có thể hoạt động như botnet và sâu (worm) tự lan truyền, nhắm tới các hệ thống Windows và Linux. Đặc biệt, nạn nhân sẽ không thể khôi phục dữ liệu kể cả khi đã trả tiền chuộc cho kẻ tấn công.

Mã độc mới kết hợp các chủng loại Mã độc tống tiền, Đào tiền ảo và Botnet

Mã độc mới có tên là Xbash, được cho là liên quan đến Iron Group hay còn gọi là Rocke - một nhóm tấn công có chủ đích tại Trung Quốc được biết đến với các cuộc tấn công mã độc tống tiền và đào tiền ảo.

Ngoài khả năng tự lan truyền, XBash còn chứa một chức năng chưa được triển khai, có thể cho phép mã độc lây lan nhanh chóng trong mạng của tổ chức. Được phát triển trên nền tảng Python, XBash tìm kiếm các dịch vụ web dễ bị tấn công hoặc không được bảo vệ và xóa các cơ sở dữ liệu như MySQL, PostgreSQL và MongoDB chạy trên các máy chủ Linux.

Xbash được thiết kế để quét các dịch vụ trên một IP đích, trên cả hai cổng TCP và UDP như HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle DB, CouchDB, Rlogin và PostgreSQL.

Khi tìm thấy một cổng mở, mã độc sẽ sử dụng tấn công vét cạn; khi thành công sẽ xóa tất cả các cơ sở dữ liệu và sau đó hiển thị thông báo tiền chuộc. Điều đáng lo ngại là bản thân mã độc không chứa bất kỳ chức năng nào cho phép khôi phục cơ sở dữ liệu đã bị xóa sau khi nạn nhân trả tiền chuộc. Cho đến nay, XBash đã lây nhiễm ít nhất 48 nạn nhân đã trả tiền chuộc, kiếm được khoảng 6.000 USD. Tuy nhiên, các nhà nghiên cứu không có bằng chứng cho thấy việc trả tiền chuộc giúp nạn nhân phục hồi được dữ liệu.

Mặt khác, XBash nhắm mục tiêu đến các máy tính Windows chỉ để khai thác tiền điện tử và tự lan truyền. Để tự lan truyền, nó khai thác ba lỗ hổng đã biết trong Hadoop, Redis và ActiveMQ bao gồm:

- Lỗi thực thi lệnh Hadilla YARN ResourceManager chưa được xác thực được tiết lộ vào tháng 10/2016 và không có định danh CVE.

- Lỗ hổng tùy ý viết lên tệp tin Redis và lỗ hổng thực thi lệnh từ xa được tiết lộ vào tháng 10/2015 và không có định danh CVE.

- Lỗ hổng tùy ý viết lên tệp tin ActiveMQ (CVE-2016-3088), được tiết lộ vào đầu năm 2016.

Nếu điểm xâm nhập là một dịch vụ Redis dễ bị tấn công, Xbash sẽ gửi payload JavaScript hoặc VBScript độc hại để tải xuống và thực thi một mã độc đào tiền ảo cho Windows thay vì mô-đun botnet và ransomware.

Xbash được phát triển bằng Python và sau đó được chuyển thành tệp tin thực thi (PE) bằng PyInstaller, có thể tạo các tệp tin nhị phân cho nhiều nền tảng, bao gồm Windows, macOS và Linux, đồng thời cung cấp tính năng chống bị phát hiện. Tuy nhiên, tại thời điểm phát hiện, các nhà nghiên cứu mới tìm thấy các mẫu cho Linux và chưa thấy bất kỳ phiên bản Windows hay macOS nào của Xbash.

Người dùng có thể tự bảo vệ mình chống lại XBash bằng cách thực hiện các phương pháp bảo mật sau:

- Thay đổi thông tin đăng nhập mặc định trên hệ thống của mình;

- Sử dụng mật khẩu mạnh và riêng biệt;

- Luôn cập nhật hệ điều hành và phần mềm;

- Tránh tải xuống và chạy các tệp không đáng tin cậy hoặc nhấp vào liên kết;

- Sao lưu dữ liệu thường xuyên;

- Ngăn chặn kết nối trái phép bằng tường lửa.

ĐT

Theo WorldStar International JSC

‹ › ×

Tin liên quan

Phát hiện phương thức tự động khởi động của mã độc

09:00 | 21/08/2018

Một trong những thao tác quan trọng trong kỹ năng phòng chống mã độc của các cán bộ kỹ thuật là việc phát hiện phương thức tự động khởi động của mã độc. Vậy làm thế nào để phát hiện phương thức tự khởi động của mã độc?

Phát hiện mã độc đào tiền ảo ẩn mình Norman

13:00 | 19/09/2019

Các nhà nghiên cứu của công ty công ty an ninh mạng Varonis (trụ sở chính tại Mỹ) đã phát hiện một biến thể mã độc đào tiền ảo ẩn mình mới với tên gọi Norman, được sử dụng trong một cuộc tấn công ảnh hưởng tới gần như toàn bộ một tổ chức khách hàng của một công ty.

Một triệu máy tính tại Trung Quốc nhiễm mã độc đào tiền ảo

14:00 | 25/07/2018

Theo ghi nhận, mã độc này đã lây nhiễm hơn 1 triệu thiết bị và đem lại lợi nhuận cho tin tặc ước tính khoảng 2 triệu USD.

Cảnh báo mã độc tống tiền mới GandCrab

21:00 | 18/12/2018

Mới đây, Tập đoàn công nghệ Bkav đã đưa ra cảnh báo tới người dùng về một biến thể mới của mã độc tống tiền GandCrab đang tấn công người dùng Internet Việt Nam trên diện rộng.

Mã độc tống tiền và phương pháp bảo vệ khỏi chúng

08:00 | 27/11/2019

Khi tổ chức bị tấn công bởi mã độc tống tiền (ransomware), để có thể ngăn chặn thì tổ chức cần phải trả lời được các câu hỏi sau: Mã độc tống tiền là gì? Những thiết bị nào bị lây nhiễm? Nguyên nhân gốc rễ nằm ở đâu? Kế hoạch khôi phục là gì? Làm cách nào để ngăn chặn những sự cố tương tự xảy ra trong tương lai?

Cảnh báo khẩn: Mã độc tấn công có chủ đích nhằm vào ngân hàng và hạ tầng quan trọng quốc gia

10:00 | 25/07/2018

Trung tâm ứng cứu khẩn cấp máy tính quốc gia (VNCERT) vừa phát ra cảnh báo khẩn về việc theo dõi, ngăn chặn kết nối và xoá các tập tin mã độc tấn công có chủ đích vào ngân hàng và các tổ chức hạ tầng quan trọng quốc gia.

Cầu nối blockchain bị tấn công gây thiệt hại hơn 326 triệu USD

08:00 | 07/02/2022

Wormhole - cầu nối giữa blockchain Ethereum với Solana bị tin tặc tấn công, đánh cắp 326 triệu USD vào rạng sáng ngày 03/02/2022. Ngay sau đó, quản trị viên kênh Twitter chính thức của Wormhole đã đăng bài xác nhận rằng cầu nối hiện ngừng hoạt động để tiến hành điều tra.

Kaspersky dự đoán các mối đe dọa đối với tiền điện tử trong năm 2019

11:00 | 24/01/2019

Mới đây, hãng bảo mật Kaspersky đã đưa ra đánh giá về các dự đoán các mối đe dọa đối với tiền điện tử năm 2018 và công bố một số dự đoán trong năm 2019.

Tin cùng chuyên mục

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Ukraine tấn công mạng và làm rò rỉ dữ liệu cơ quan hàng không của Nga

14:00 | 30/11/2023

Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.

Phân tích Lu0Bot: Phần mềm độc hại trên nền tảng Node.js (Phần 1)

07:00 | 03/11/2023

Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.