Mã độc mới kết hợp các chủng loại Mã độc tống tiền, Đào tiền ảo và Botnet

14:00 | 27/09/2018 | HACKER / MALWARE

Một mã độc mới bị phát hiện vừa có khả năng tống tiền (ransomware), đào tiền ảo (coin mining) vừa có thể hoạt động như botnet và sâu (worm) tự lan truyền, nhắm tới các hệ thống Windows và Linux. Đặc biệt, nạn nhân sẽ không thể khôi phục dữ liệu kể cả khi đã trả tiền chuộc cho kẻ tấn công.

Mã độc mới kết hợp các chủng loại Mã độc tống tiền, Đào tiền ảo và Botnet

Mã độc mới có tên là Xbash, được cho là liên quan đến Iron Group hay còn gọi là Rocke - một nhóm tấn công có chủ đích tại Trung Quốc được biết đến với các cuộc tấn công mã độc tống tiền và đào tiền ảo.

Ngoài khả năng tự lan truyền, XBash còn chứa một chức năng chưa được triển khai, có thể cho phép mã độc lây lan nhanh chóng trong mạng của tổ chức. Được phát triển trên nền tảng Python, XBash tìm kiếm các dịch vụ web dễ bị tấn công hoặc không được bảo vệ và xóa các cơ sở dữ liệu như MySQL, PostgreSQL và MongoDB chạy trên các máy chủ Linux.

Xbash được thiết kế để quét các dịch vụ trên một IP đích, trên cả hai cổng TCP và UDP như HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle DB, CouchDB, Rlogin và PostgreSQL.

Khi tìm thấy một cổng mở, mã độc sẽ sử dụng tấn công vét cạn; khi thành công sẽ xóa tất cả các cơ sở dữ liệu và sau đó hiển thị thông báo tiền chuộc. Điều đáng lo ngại là bản thân mã độc không chứa bất kỳ chức năng nào cho phép khôi phục cơ sở dữ liệu đã bị xóa sau khi nạn nhân trả tiền chuộc. Cho đến nay, XBash đã lây nhiễm ít nhất 48 nạn nhân đã trả tiền chuộc, kiếm được khoảng 6.000 USD. Tuy nhiên, các nhà nghiên cứu không có bằng chứng cho thấy việc trả tiền chuộc giúp nạn nhân phục hồi được dữ liệu.

Mặt khác, XBash nhắm mục tiêu đến các máy tính Windows chỉ để khai thác tiền điện tử và tự lan truyền. Để tự lan truyền, nó khai thác ba lỗ hổng đã biết trong Hadoop, Redis và ActiveMQ bao gồm:

- Lỗi thực thi lệnh Hadilla YARN ResourceManager chưa được xác thực được tiết lộ vào tháng 10/2016 và không có định danh CVE.

- Lỗ hổng tùy ý viết lên tệp tin Redis và lỗ hổng thực thi lệnh từ xa được tiết lộ vào tháng 10/2015 và không có định danh CVE.

- Lỗ hổng tùy ý viết lên tệp tin ActiveMQ (CVE-2016-3088), được tiết lộ vào đầu năm 2016.

Nếu điểm xâm nhập là một dịch vụ Redis dễ bị tấn công, Xbash sẽ gửi payload JavaScript hoặc VBScript độc hại để tải xuống và thực thi một mã độc đào tiền ảo cho Windows thay vì mô-đun botnet và ransomware.

Xbash được phát triển bằng Python và sau đó được chuyển thành tệp tin thực thi (PE) bằng PyInstaller, có thể tạo các tệp tin nhị phân cho nhiều nền tảng, bao gồm Windows, macOS và Linux, đồng thời cung cấp tính năng chống bị phát hiện. Tuy nhiên, tại thời điểm phát hiện, các nhà nghiên cứu mới tìm thấy các mẫu cho Linux và chưa thấy bất kỳ phiên bản Windows hay macOS nào của Xbash.

Người dùng có thể tự bảo vệ mình chống lại XBash bằng cách thực hiện các phương pháp bảo mật sau:

- Thay đổi thông tin đăng nhập mặc định trên hệ thống của mình;

- Sử dụng mật khẩu mạnh và riêng biệt;

- Luôn cập nhật hệ điều hành và phần mềm;

- Tránh tải xuống và chạy các tệp không đáng tin cậy hoặc nhấp vào liên kết;

- Sao lưu dữ liệu thường xuyên;

- Ngăn chặn kết nối trái phép bằng tường lửa.

ĐT

Theo WorldStar International JSC

‹ › ×

Tin liên quan

Phát hiện phương thức tự động khởi động của mã độc

09:00 | 21/08/2018

Một trong những thao tác quan trọng trong kỹ năng phòng chống mã độc của các cán bộ kỹ thuật là việc phát hiện phương thức tự động khởi động của mã độc. Vậy làm thế nào để phát hiện phương thức tự khởi động của mã độc?

Phát hiện mã độc đào tiền ảo ẩn mình Norman

13:00 | 19/09/2019

Các nhà nghiên cứu của công ty công ty an ninh mạng Varonis (trụ sở chính tại Mỹ) đã phát hiện một biến thể mã độc đào tiền ảo ẩn mình mới với tên gọi Norman, được sử dụng trong một cuộc tấn công ảnh hưởng tới gần như toàn bộ một tổ chức khách hàng của một công ty.

Một triệu máy tính tại Trung Quốc nhiễm mã độc đào tiền ảo

14:00 | 25/07/2018

Theo ghi nhận, mã độc này đã lây nhiễm hơn 1 triệu thiết bị và đem lại lợi nhuận cho tin tặc ước tính khoảng 2 triệu USD.

Cảnh báo mã độc tống tiền mới GandCrab

21:00 | 18/12/2018

Mới đây, Tập đoàn công nghệ Bkav đã đưa ra cảnh báo tới người dùng về một biến thể mới của mã độc tống tiền GandCrab đang tấn công người dùng Internet Việt Nam trên diện rộng.

Mã độc tống tiền và phương pháp bảo vệ khỏi chúng

08:00 | 27/11/2019

Khi tổ chức bị tấn công bởi mã độc tống tiền (ransomware), để có thể ngăn chặn thì tổ chức cần phải trả lời được các câu hỏi sau: Mã độc tống tiền là gì? Những thiết bị nào bị lây nhiễm? Nguyên nhân gốc rễ nằm ở đâu? Kế hoạch khôi phục là gì? Làm cách nào để ngăn chặn những sự cố tương tự xảy ra trong tương lai?

Cảnh báo khẩn: Mã độc tấn công có chủ đích nhằm vào ngân hàng và hạ tầng quan trọng quốc gia

10:00 | 25/07/2018

Trung tâm ứng cứu khẩn cấp máy tính quốc gia (VNCERT) vừa phát ra cảnh báo khẩn về việc theo dõi, ngăn chặn kết nối và xoá các tập tin mã độc tấn công có chủ đích vào ngân hàng và các tổ chức hạ tầng quan trọng quốc gia.

Cầu nối blockchain bị tấn công gây thiệt hại hơn 326 triệu USD

08:00 | 07/02/2022

Wormhole - cầu nối giữa blockchain Ethereum với Solana bị tin tặc tấn công, đánh cắp 326 triệu USD vào rạng sáng ngày 03/02/2022. Ngay sau đó, quản trị viên kênh Twitter chính thức của Wormhole đã đăng bài xác nhận rằng cầu nối hiện ngừng hoạt động để tiến hành điều tra.

Kaspersky dự đoán các mối đe dọa đối với tiền điện tử trong năm 2019

11:00 | 24/01/2019

Mới đây, hãng bảo mật Kaspersky đã đưa ra đánh giá về các dự đoán các mối đe dọa đối với tiền điện tử năm 2018 và công bố một số dự đoán trong năm 2019.

Tin cùng chuyên mục

Cảnh báo biến thể mới của phần mềm đánh cắp thông tin Banshee Stealer nhắm vào người dùng macOS

09:00 | 24/01/2025

Nhiều người dùng macOS cho rằng kiến trúc dựa trên Unix của nền tảng này và thị phần sử dụng thấp hơn so với Windows, khiến nó trở thành mục tiêu kém hấp dẫn đối với tội phạm mạng và do đó có khả năng ít bị lây nhiễm phần mềm độc hại. Mặc dù macOS có bao gồm các tính năng bảo mật mạnh mẽ như Gatekeeper, XProtect và sandbox, nhưng sự gia tăng hoạt động gần đây của phần mềm đánh cắp thông tin Banshee đóng vai trò như một lời nhắc nhở rằng không có hệ điều hành nào miễn nhiễm với các mối đe dọa.

10 cuộc tấn công mạng nguy hiểm nhất năm 2024

09:00 | 30/12/2024

Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.

Phát hiện Rootkit PUMAKIT sử dụng các kỹ thuật ẩn mình tinh vi

10:00 | 24/12/2024

Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.

Tin tặc lợi dụng cụm từ tìm kiếm ít phổ biến trên Google để phát tán phần mềm độc hại

09:00 | 18/11/2024

Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.