Trojan Linux sử dụng các thiết bị IoT bị hack để gửi thư rác

08:00 | 12/10/2017 | HACKER / MALWARE

Gần đây, các nghiên cứu của công ty an ninh Doctor Web (Nga) đã phát hiện ra một trojan trên thiết bị IoT chạy Linux được tội phạm mạng sử dụng để gửi thư rác với mục đích lừa đảo.

Trojan được gọi là Linux.ProxyM, là botnet giống như mã độc Mirai, có khả năng lây nhiễm các thiết bị Internet of things (IoT) được các tội phạm mạng sử dụng để đảm bảo ẩn danh trực tuyến nhằm mục đích gửi thư rác để kiếm tiền.

Linux.ProxyM được công ty Doctor Web phát hiện vào tháng 2/2017, chạy một máy chủ proxy SOCKS trên thiết bị IoT bị lây nhiễm và có khả năng phát hiện hệ thống tài nguyên thông tin (honeypots) để tránh các nhà nghiên cứu phần mềm độc hại.

Linux.ProxyM có thể hoạt động trên hầu hết các thiết bị Linux, bao gồm các bộ định tuyến, hộp thiết bị giải mã tín hiệu truyền hình (set-top) và các thiết bị khác có các kiến trúc như: x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh và SPARC.

Sau khi bị nhiễm Linux.ProxyM, thiết bị sẽ kết nối với một máy chủ C&C và tải các địa chỉ trên Internet để cung cấp một danh sách các đăng nhập và mật khẩu cần thiết cho máy chủ proxy SOCKS hoạt động.

Máy chủ C&C cũng gửi một lệnh có chứa địa chỉ máy chủ giao thức truyền tải thư điện tử (Simple Mail Transfer Protocol-SMTP), các thông tin được sử dụng để truy cập danh sách các địa chỉ thư điện tử và một mẫu tin nhắn chứa quảng cáo cho các trang web khác nhau. Trung bình mỗi thiết bị bị nhiễm sẽ gửi 400 email như vậy mỗi ngày.

Mặc dù tổng số thiết bị bị nhiễm Trojan này vẫn chưa được biết đến, nhưng các nhà phân tích của Doctor Web tin rằng con số này đã thay đổi qua nhiều tháng.

Phần lớn các thiết bị bị nhiễm trojan được đặt ở Braxin và Mỹ, sau đó là Nga, Ấn Độ, Mexico, Ý, Thổ Nhĩ Kỳ, Ba Lan, Pháp và Argentina.

Để bảo vệ thiết bị thông minh khỏi bị tấn công, người dùng cần một thiết bị để bảo vệ toàn bộ mạng gia đình của bạn và các thiết bị được kết nối. Các chuyên gia an ninh mạng khuyến cáo người dùng một số cách đơn giản để bảo vệ thiết bị IoT như sau:

1. Thay đổi mật khẩu mặc định: Nếu người dùng có thiết bị kết nối Internet nên thay đổi mật khẩu theo định kỳ.

2. Tắt giao thức mạng Universal Plug and Play (UPnP): UPnP được kích hoạt mặc định trên mọi thiết bị kết nối Internet, tạo ra lỗ hổng trong bảo mật router của người dùng có thể cho phép phần mềm độc hại xâm nhập bất kỳ phần nào trên mạng cục bộ của người dùng. Vì vậy, người dùng cần kiểm tra để tắt tính năng “Universal Plug and Play”.

3. Vô hiệu hoá quản lý từ xa thông qua Telnet: Vào cài đặt router của người dùng và vô hiệu hóa Remote Management Protocol, đặc biệt thông qua Telnet, bởi vì giao thức này được sử dụng để cho phép một máy tính điều khiển một từ xa. Nó cũng đã được sử dụng trong các cuộc tấn công Mirai trước.

4. Kiểm tra cập nhật phần mềm và các bản vá lỗ hổng: luôn giữ các thiết bị kết nối Internet và bộ định tuyến của người dùng cập nhật với phần mềm cơ sở mới nhất của nhà cung cấp.

Hồng Loan

(tổng hợp theo The Hacker News)

‹ › ×

Tin liên quan

Lượng phần mềm độc hại nhắm vào thiết bị IoT tăng gấp đôi trong năm 2017

16:00 | 20/12/2017

Thế giới đang bước vào nền Công nghiệp 4.0 với sự phát triển bùng nổ của các công nghệ mang tính đột phá, trong đó có Internet vạn vật (Internet of Things - IoT). Theo các chuyên gia nghiên cứu của Kaspersky Lab, người dùng ngày càng phải đối mặt với những rủi ro mất an toàn thông tin từ phần mềm độc hại nhắm vào các thiết bị kết nối này.

Trojan quảng cáo lây nhiễm hàng nghìn website thông qua plug-in CMS

09:00 | 31/05/2018

Mới đây, một chiến dịch lừa đảo với mục tiêu khiến các website hiển thị các quảng cáo độc hại và chuyển hướng người dùng đến thông báo “máy tính bị nhiễm Trojan”, hoặc “mã độc đã gây ảnh hưởng tới hàng nghìn website”.

Microsoft cảnh báo chiến dịch phần mềm độc hại phát tán Trojan giả dạng mã độc tống tiền

15:00 | 10/06/2021

Mới đây, nhóm bảo mật của Microsoft đã công bố chi tiết về một chiến dịch phần mềm độc hại phát tán một loại Trojan truy cập từ xa có tên là STRRAT, đánh cắp dữ liệu từ các hệ thống bị nhiễm, giả dạng dưới một cuộc tấn công mã độc tống tiền.

Phát hiện mã độc hoạt động bí mật 3 năm trên Linux

16:00 | 26/05/2021

Các nhà nghiên cứu vừa phát hiện một mã độc mới trên Linux có khả năng tạo backdoor và nằm ngoài phạm vi rà quét của hệ thống giám sát trong ba năm. Tin tặc đã sử dụng mã độc này để thu thập và trích xuất thông tin nhạy cảm từ các hệ thống bị ảnh hưởng.

Phát hiện Trojan sử dụng chữ ký số hợp pháp

16:00 | 24/09/2018

Ngày 11/9/2018, đại diện hãng bảo mật Kaspersky tại Việt Nam cho biết đã phát hiện một biến thể Trojan mới tinh vi sử dụng chữ ký số hợp pháp.

Hiểm họa từ Trojan GPlayed

07:00 | 01/04/2019

Ngày 11/10/2018, nhóm nghiên cứu của Cisco (Cisco Talos) đã công bố thông tin về một loại mã độc mới trên hệ điều hành Android có tên gọi GPlayed. Đây là một loại trojan mới được tích hợp nhiều tính năng độc hại. Bài báo này thực hiện phân tích chi tiết của Trojan GPlayed.

Các xu hướng IoT nổi bật và vấn đề đảm bảo an toàn IoT với blockchain

08:00 | 15/06/2018

IoT là một ngành công nghiệp đang phát triển, trong tương lai gần sẽ xuất hiện nhiều điều mới đối với các nhà phát triển và ngành công nghiệp IoT. Cả doanh nghiệp và khách hàng đều đang tiếp tục tìm kiếm những cải tiến lớn. Thế giới đang sẵn sàng đón nhận những tác động mà IoT mang lại cho cuộc sống. Bài viết sẽ trình bày các xu hướng nổi bật của IoT mà các nhà phát triển có thể hướng tới trong năm 2018 và vấn đề đảm bảo an toàn IoT với công nghệ blockchain.

Việt Nam đứng thứ 6 về phát tán thư rác Quý II/2018

08:00 | 07/09/2018

Theo kết quả thống kê được hãng bảo mật Kaspersky Lab công bố, trong Quý II/2018, Việt Nam là quốc gia đứng thứ 6 về phát tán thư rác trên toàn cầu.

Tin cùng chuyên mục

TGTOXIC tấn công người dùng Android chỉ bằng một tin nhắn SMS

10:00 | 05/03/2025

Các nhà nghiên cứu bảo mật tại Intel 471 cho biết, đã phát hiện cách phần mềm độc hại TGTOXIC tấn công người dùng Android chỉ bằng một tin nhắn SMS.

Tin tặc tấn công vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga

16:00 | 20/01/2025

Ngày 06/01, nhóm tin tặc Silent Crow được cho là liên quan đến Ukraine tuyên bố đã xâm nhập vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga (Rosreestr) và công bố một phần dữ liệu được cho là trích xuất từ cơ sở dữ liệu của cơ quan này.

FICORA và Kaiten Botnet khai thác các lỗ hổng D-Link cũ trong các cuộc tấn công mạng trên toàn cầu

10:00 | 31/12/2024

Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.

1.960 vụ tấn công mạng nghiêm trọng tại Anh trong năm 2024

08:00 | 16/12/2024

Ngày 3/12, Trung tâm An ninh mạng quốc gia Anh (NCSC) vừa công bố đánh giá thường niên cho thấy các cuộc tấn công mạng nghiêm trọng nhằm vào các tổ chức và công ty của nước này trong 12 tháng qua đã tăng gấp 3 lần năm 2023, trong đó có các sự cố lớn ảnh hưởng đến các bệnh viện ở London và Thư viện quốc gia Anh.