Trojan được gọi là Linux.ProxyM, là botnet giống như mã độc Mirai, có khả năng lây nhiễm các thiết bị Internet of things (IoT) được các tội phạm mạng sử dụng để đảm bảo ẩn danh trực tuyến nhằm mục đích gửi thư rác để kiếm tiền.
Linux.ProxyM được công ty Doctor Web phát hiện vào tháng 2/2017, chạy một máy chủ proxy SOCKS trên thiết bị IoT bị lây nhiễm và có khả năng phát hiện hệ thống tài nguyên thông tin (honeypots) để tránh các nhà nghiên cứu phần mềm độc hại.
Linux.ProxyM có thể hoạt động trên hầu hết các thiết bị Linux, bao gồm các bộ định tuyến, hộp thiết bị giải mã tín hiệu truyền hình (set-top) và các thiết bị khác có các kiến trúc như: x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh và SPARC.
Sau khi bị nhiễm Linux.ProxyM, thiết bị sẽ kết nối với một máy chủ C&C và tải các địa chỉ trên Internet để cung cấp một danh sách các đăng nhập và mật khẩu cần thiết cho máy chủ proxy SOCKS hoạt động.
Máy chủ C&C cũng gửi một lệnh có chứa địa chỉ máy chủ giao thức truyền tải thư điện tử (Simple Mail Transfer Protocol-SMTP), các thông tin được sử dụng để truy cập danh sách các địa chỉ thư điện tử và một mẫu tin nhắn chứa quảng cáo cho các trang web khác nhau. Trung bình mỗi thiết bị bị nhiễm sẽ gửi 400 email như vậy mỗi ngày.
Mặc dù tổng số thiết bị bị nhiễm Trojan này vẫn chưa được biết đến, nhưng các nhà phân tích của Doctor Web tin rằng con số này đã thay đổi qua nhiều tháng.
Phần lớn các thiết bị bị nhiễm trojan được đặt ở Braxin và Mỹ, sau đó là Nga, Ấn Độ, Mexico, Ý, Thổ Nhĩ Kỳ, Ba Lan, Pháp và Argentina.
Để bảo vệ thiết bị thông minh khỏi bị tấn công, người dùng cần một thiết bị để bảo vệ toàn bộ mạng gia đình của bạn và các thiết bị được kết nối. Các chuyên gia an ninh mạng khuyến cáo người dùng một số cách đơn giản để bảo vệ thiết bị IoT như sau:
1. Thay đổi mật khẩu mặc định: Nếu người dùng có thiết bị kết nối Internet nên thay đổi mật khẩu theo định kỳ.
2. Tắt giao thức mạng Universal Plug and Play (UPnP): UPnP được kích hoạt mặc định trên mọi thiết bị kết nối Internet, tạo ra lỗ hổng trong bảo mật router của người dùng có thể cho phép phần mềm độc hại xâm nhập bất kỳ phần nào trên mạng cục bộ của người dùng. Vì vậy, người dùng cần kiểm tra để tắt tính năng “Universal Plug and Play”.
3. Vô hiệu hoá quản lý từ xa thông qua Telnet: Vào cài đặt router của người dùng và vô hiệu hóa Remote Management Protocol, đặc biệt thông qua Telnet, bởi vì giao thức này được sử dụng để cho phép một máy tính điều khiển một từ xa. Nó cũng đã được sử dụng trong các cuộc tấn công Mirai trước.
4. Kiểm tra cập nhật phần mềm và các bản vá lỗ hổng: luôn giữ các thiết bị kết nối Internet và bộ định tuyến của người dùng cập nhật với phần mềm cơ sở mới nhất của nhà cung cấp.
Hồng Loan
(tổng hợp theo The Hacker News)
16:00 | 20/12/2017
09:00 | 31/05/2018
15:00 | 10/06/2021
16:00 | 26/05/2021
16:00 | 24/09/2018
07:00 | 01/04/2019
08:00 | 15/06/2018
08:00 | 07/09/2018
09:00 | 13/12/2024
Các nhà nghiên cứu an ninh mạng đang cảnh báo về các chiến dịch tấn công email độc hại lợi dụng bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS) có tên là Rockstar 2FA, nhằm mục đích đánh cắp thông tin đăng nhập tài khoản Microsoft 365.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
10:00 | 30/10/2024
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024