Đây có thể là loại mã độc đầu tiên sử dụng các lệnh truy vấn hệ thống tên miền (Domain Name System – DNS) qua UDP để đánh cắp dữ liệu, thay vì sử dụng giao thức HTTP như các mã độc PoS khác. Ngoài ra, mã độc UDPoS còn giả danh là bản cập nhật của LogMeIn (phần mềm hợp lệ dùng để kiểm soát máy tính và các hệ thống từ xa) nhằm tránh bị phát hiện.
Bản mẫu của mã độc do các nhà nghiên cứu phân tích có kết nối tới máy chủ C&C tại Thuỵ Sĩ, chứ không phải tại những địa chỉ thường thấy khác (như Hoa Kỳ, Trung Quốc, Hàn Quốc, Triều Tiên, Thổ Nhĩ Kỳ hoặc Nga). Máy chủ lưu trữ một tệp tin dropper, khi giải nén sẽ chứa mã độc để phát tán. Cần lưu ý rằng, mã độc UDPoS chỉ có thể tấn công những hệ thống PoS cũ vẫn còn sử dụng LogMeIn.
Giống phần lớn các mã độc khác, UDPoS chủ động tìm kiếm các phần mềm diệt virus và máy ảo để vô hiệu hóa chúng. Các nhà nghiên cứu cho biết, họ không rõ điều này có phải là dấu hiệu của việc mã độc này đang ở giai đoạn phát triển/kiểm thử hay không.
Mặc dù không có dấu hiệu cho thấy UDPoS đang được khai thác trong thực tế để đánh cắp dữ liệu thẻ tín dụng hay thẻ ghi nợ, nhưng các thử nghiệm của Forcepoint cho thấy, mã độc này có thể hoàn toàn thực hiện những điều đó. Hơn nữa, trong quá trình điều tra, một trong các máy chủ C&C mà mẫu mã độc UDPoS kết nối vẫn hoạt động và gửi phản hồi cho thấy, tác giả của mã độc đã chuẩn bị cho việc phát tán mã độc.
Theo các nhà nghiên cứu của Forcepoint, việc chống lại mối đe dọa mới này không phải là dễ dàng, vì hầu hết các công ty đã có tường lửa, các giải pháp giám sát, lọc kết nối dựa trên các giao thức TCP và UDP, nhưng DNS vẫn chưa thực sự được quan tâm. Điều này sẽ tạo cơ hội cho kẻ xấu đánh cắp dữ liệu. Cần lưu ý, những kẻ xấu đằng sau mã độc này chưa xâm hại được dịch vụ LogMeIn mà chỉ giả danh nó. LogMeIn cũng đã đăng một bài viết để cảnh báo người dùng.
Năm 2017, một loại Trojan cho phép truy cập từ xa (Remote Access Trojan – RAT) có tên là DNSMessenger đã được phát hiện. Mã độc này sử dụng các truy vấn DNS để thực hiện các lệnh PowerShell độc hại trên những máy tính bị lây nhiễm.
Nguyễn Anh
Theo The Hacker News
15:00 | 28/08/2018
08:00 | 17/05/2024
Thế vận hội Paris 2024 đang chuẩn bị để sẵn sàng đối mặt với thách thức chưa từng có về mặt an ninh mạng, với việc các nhà tổ chức dự kiến sẽ phải chịu áp lực rất lớn đối với Thế vận hội vào mùa hè này.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
09:00 | 21/05/2024