Mã độc mới kết hợp các chủng loại Mã độc tống tiền, Đào tiền ảo và Botnet

14:00 | 27/09/2018 | HACKER / MALWARE

Một mã độc mới bị phát hiện vừa có khả năng tống tiền (ransomware), đào tiền ảo (coin mining) vừa có thể hoạt động như botnet và sâu (worm) tự lan truyền, nhắm tới các hệ thống Windows và Linux. Đặc biệt, nạn nhân sẽ không thể khôi phục dữ liệu kể cả khi đã trả tiền chuộc cho kẻ tấn công.

Mã độc mới kết hợp các chủng loại Mã độc tống tiền, Đào tiền ảo và Botnet

Mã độc mới có tên là Xbash, được cho là liên quan đến Iron Group hay còn gọi là Rocke - một nhóm tấn công có chủ đích tại Trung Quốc được biết đến với các cuộc tấn công mã độc tống tiền và đào tiền ảo.

Ngoài khả năng tự lan truyền, XBash còn chứa một chức năng chưa được triển khai, có thể cho phép mã độc lây lan nhanh chóng trong mạng của tổ chức. Được phát triển trên nền tảng Python, XBash tìm kiếm các dịch vụ web dễ bị tấn công hoặc không được bảo vệ và xóa các cơ sở dữ liệu như MySQL, PostgreSQL và MongoDB chạy trên các máy chủ Linux.

Xbash được thiết kế để quét các dịch vụ trên một IP đích, trên cả hai cổng TCP và UDP như HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle DB, CouchDB, Rlogin và PostgreSQL.

Khi tìm thấy một cổng mở, mã độc sẽ sử dụng tấn công vét cạn; khi thành công sẽ xóa tất cả các cơ sở dữ liệu và sau đó hiển thị thông báo tiền chuộc. Điều đáng lo ngại là bản thân mã độc không chứa bất kỳ chức năng nào cho phép khôi phục cơ sở dữ liệu đã bị xóa sau khi nạn nhân trả tiền chuộc. Cho đến nay, XBash đã lây nhiễm ít nhất 48 nạn nhân đã trả tiền chuộc, kiếm được khoảng 6.000 USD. Tuy nhiên, các nhà nghiên cứu không có bằng chứng cho thấy việc trả tiền chuộc giúp nạn nhân phục hồi được dữ liệu.

Mặt khác, XBash nhắm mục tiêu đến các máy tính Windows chỉ để khai thác tiền điện tử và tự lan truyền. Để tự lan truyền, nó khai thác ba lỗ hổng đã biết trong Hadoop, Redis và ActiveMQ bao gồm:

- Lỗi thực thi lệnh Hadilla YARN ResourceManager chưa được xác thực được tiết lộ vào tháng 10/2016 và không có định danh CVE.

- Lỗ hổng tùy ý viết lên tệp tin Redis và lỗ hổng thực thi lệnh từ xa được tiết lộ vào tháng 10/2015 và không có định danh CVE.

- Lỗ hổng tùy ý viết lên tệp tin ActiveMQ (CVE-2016-3088), được tiết lộ vào đầu năm 2016.

Nếu điểm xâm nhập là một dịch vụ Redis dễ bị tấn công, Xbash sẽ gửi payload JavaScript hoặc VBScript độc hại để tải xuống và thực thi một mã độc đào tiền ảo cho Windows thay vì mô-đun botnet và ransomware.

Xbash được phát triển bằng Python và sau đó được chuyển thành tệp tin thực thi (PE) bằng PyInstaller, có thể tạo các tệp tin nhị phân cho nhiều nền tảng, bao gồm Windows, macOS và Linux, đồng thời cung cấp tính năng chống bị phát hiện. Tuy nhiên, tại thời điểm phát hiện, các nhà nghiên cứu mới tìm thấy các mẫu cho Linux và chưa thấy bất kỳ phiên bản Windows hay macOS nào của Xbash.

Người dùng có thể tự bảo vệ mình chống lại XBash bằng cách thực hiện các phương pháp bảo mật sau:

- Thay đổi thông tin đăng nhập mặc định trên hệ thống của mình;

- Sử dụng mật khẩu mạnh và riêng biệt;

- Luôn cập nhật hệ điều hành và phần mềm;

- Tránh tải xuống và chạy các tệp không đáng tin cậy hoặc nhấp vào liên kết;

- Sao lưu dữ liệu thường xuyên;

- Ngăn chặn kết nối trái phép bằng tường lửa.

ĐT

Theo WorldStar International JSC

‹ › ×

Tin liên quan

Phát hiện phương thức tự động khởi động của mã độc

09:00 | 21/08/2018

Một trong những thao tác quan trọng trong kỹ năng phòng chống mã độc của các cán bộ kỹ thuật là việc phát hiện phương thức tự động khởi động của mã độc. Vậy làm thế nào để phát hiện phương thức tự khởi động của mã độc?

Phát hiện mã độc đào tiền ảo ẩn mình Norman

13:00 | 19/09/2019

Các nhà nghiên cứu của công ty công ty an ninh mạng Varonis (trụ sở chính tại Mỹ) đã phát hiện một biến thể mã độc đào tiền ảo ẩn mình mới với tên gọi Norman, được sử dụng trong một cuộc tấn công ảnh hưởng tới gần như toàn bộ một tổ chức khách hàng của một công ty.

Một triệu máy tính tại Trung Quốc nhiễm mã độc đào tiền ảo

14:00 | 25/07/2018

Theo ghi nhận, mã độc này đã lây nhiễm hơn 1 triệu thiết bị và đem lại lợi nhuận cho tin tặc ước tính khoảng 2 triệu USD.

Cảnh báo mã độc tống tiền mới GandCrab

21:00 | 18/12/2018

Mới đây, Tập đoàn công nghệ Bkav đã đưa ra cảnh báo tới người dùng về một biến thể mới của mã độc tống tiền GandCrab đang tấn công người dùng Internet Việt Nam trên diện rộng.

Mã độc tống tiền và phương pháp bảo vệ khỏi chúng

08:00 | 27/11/2019

Khi tổ chức bị tấn công bởi mã độc tống tiền (ransomware), để có thể ngăn chặn thì tổ chức cần phải trả lời được các câu hỏi sau: Mã độc tống tiền là gì? Những thiết bị nào bị lây nhiễm? Nguyên nhân gốc rễ nằm ở đâu? Kế hoạch khôi phục là gì? Làm cách nào để ngăn chặn những sự cố tương tự xảy ra trong tương lai?

Cảnh báo khẩn: Mã độc tấn công có chủ đích nhằm vào ngân hàng và hạ tầng quan trọng quốc gia

10:00 | 25/07/2018

Trung tâm ứng cứu khẩn cấp máy tính quốc gia (VNCERT) vừa phát ra cảnh báo khẩn về việc theo dõi, ngăn chặn kết nối và xoá các tập tin mã độc tấn công có chủ đích vào ngân hàng và các tổ chức hạ tầng quan trọng quốc gia.

Cầu nối blockchain bị tấn công gây thiệt hại hơn 326 triệu USD

08:00 | 07/02/2022

Wormhole - cầu nối giữa blockchain Ethereum với Solana bị tin tặc tấn công, đánh cắp 326 triệu USD vào rạng sáng ngày 03/02/2022. Ngay sau đó, quản trị viên kênh Twitter chính thức của Wormhole đã đăng bài xác nhận rằng cầu nối hiện ngừng hoạt động để tiến hành điều tra.

Kaspersky dự đoán các mối đe dọa đối với tiền điện tử trong năm 2019

11:00 | 24/01/2019

Mới đây, hãng bảo mật Kaspersky đã đưa ra đánh giá về các dự đoán các mối đe dọa đối với tiền điện tử năm 2018 và công bố một số dự đoán trong năm 2019.

Tin cùng chuyên mục

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.