Malware mới kết hợp các tính năng Ransomware, Coin Mining và Botnet

Malware mới kết hợp các tính năng Ransomware, Coin Mining và Botnet

September 20, 2018 | vietsunshine

Người dùng Windows và Linux cần phải cẩn thận, một phần mềm độc hại phá hoại tất cả-trong-một, được phát hiện trong tự nhiên có nhiều khả năng malware bao gồm ransomware, đào tiền ảo, botnet và worm tự lan truyền tới các hệ thống Linux và Windows.

Được gọi là XBash, phần mềm độc hại mới, được cho là có liên quan đến Iron Group, a.k.a. Rocke — nhóm phát hiện mối đe dọa APT nói tiếng Trung Quốc được biết đến với các cuộc tấn công mạng trước đó liên quan đến ransomware và đào tiền ảo.

Theo các nhà nghiên cứu từ nhà cung cấp giải pháp an ninh mạng Palo Alto Networks, tổ chức đã phát hiện ra phần mềm độc hại, XBash là một phần mềm độc hại tất cả-trong-một có tính năng ransomware và khả năng khai thác tiền điện tử, cũng như khả năng giống như worm tương tự như WannaCry hoặc Petya/NotPetya.

Ngoài khả năng tự lan truyền, XBash còn chứa một chức năng chưa được triển khai, có thể cho phép phần mềm độc hại lây lan nhanh chóng trong mạng của tổ chức.

Được phát triển bằng Python, XBash săn tìm các dịch vụ web dễ bị tổn thương hoặc không được bảo vệ và xóa các cơ sở dữ liệu như MySQL, PostgreSQL và MongoDB đang chạy trên các máy chủ Linux, như một phần của khả năng ransomware của nó.

Quan trọng: Trả tiền chuộc sẽ không giúp gì cho bạn!

Xbash đã được thiết kế để quét các dịch vụ trên một IP đích, trên cả hai cổng TCP và UDP như HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Cơ sở dữ liệu Oracle, CouchDB, Rlogin và PostgreSQL.

Khi tìm thấy một cổng mở, phần mềm độc hại sử dụng tên người dùng và mật khẩu dictionary để tấn công brute force vào chính dịch vụ dễ bị tổn thương, và một lần vào, xóa tất cả các cơ sở dữ liệu và sau đó hiển thị thông báo chuộc.

Điều đáng lo ngại là bản thân phần mềm độc hại không chứa bất kỳ chức năng nào cho phép khôi phục cơ sở dữ liệu đã bị xóa sau khi số tiền chuộc đã được các nạn nhân trả.

Cho đến nay, XBash đã lây nhiễm ít nhất 48 nạn nhân, những người đã trả tiền chuộc, và kiếm được khoảng 6.000 USD. Tuy nhiên, các nhà nghiên cứu thấy không có bằng chứng rằng các khoản thanh toán trả tiền đã giúp việc phục hồi dữ liệu cho các nạn nhân.

Phần mềm độc hại cũng có khả năng thêm các hệ thống dựa trên Linux được nhắm mục tiêu vào botnet.

XBash Malware khai thác lỗ hổng trong Hadoop, Redis và ActiveMQ

Mặt khác, XBash nhắm mục tiêu các máy tính Microsoft Windows chỉ để khai thác tiền điện tử và lan truyền. Để làm được việc này, nó khai thác ba lỗ hổng đã biết trong Hadoop, Redis và ActiveMQ:

  • Lỗi thực thi lệnh Hadilla YARN ResourceManager chưa được xác thực được tiết lộ vào tháng 10 năm 2016 và không có số CVE nào được chỉ định.
  • Redis ghi tập tin tùy ý, và lỗ hổng thực thi lệnh từ xa được tiết lộ vào tháng 10 năm 2015 mà không có số CVE được gán.
  • ActiveMQ lỗ hổng ghi tập tin tùy ý (CVE-2016-3088), được tiết lộ vào đầu năm 2016.

Nếu điểm vào là một dịch vụ Redis dễ bị tấn công, Xbash sẽ gửi tải trọng JavaScript hoặc VBScript độc hại để tải xuống và thực hiện một coinminer cho Windows thay vì mô-đun botnet và ransomware của nó.

Như đã đề cập ở trên, Xbash được phát triển bằng Python và sau đó được chuyển thành Portable Executable (PE) bằng PyInstaller, có thể tạo các tệp nhị phân cho nhiều nền tảng, bao gồm Windows, Apple macOS và Linux, đồng thời cung cấp tính năng chống phát hiện.

Điều này, cho phép XBash thực sự là nền tảng phần mềm độc hại, tuy nhiên, tại thời điểm viết bài, các nhà nghiên cứu đã tìm thấy các mẫu chỉ dành cho Linux và không thấy bất kỳ phiên bản Windows hay MacOS nào của Xbash.

Người dùng có thể tự bảo vệ mình chống lại XBash bằng cách thực hiện các phương pháp bảo mật an ninh mạng cơ bản, bao gồm:

  • Thay đổi thông tin đăng nhập mặc định trên hệ thống của bạn.
  • Sử dụng mật khẩu mạnh và độc đáo.
  • Luôn cập nhật phần mềm và hệ điều hành.
  • Tránh tải xuống và chạy các tệp không đáng tin cậy hoặc nhấp vào liên kết.
  • Thường xuyên sao lưu dữ liệu.
  • Ngặn chăn các kết nối trái phép bằng cách sử dụng tường lửa.

(Nguồn: Thehackernews)

Tags: , ,