Cảnh báo: Một mã độc đào tiền ảo mới đang phát tán mạnh tại Việt Nam

10-02-2018
Bởi: admin 73 lượt xem

Từ giữa tháng 1/2018 cho đến nay, hệ thống giám sát CyRadar – startup do FPT ươm tạo và phát triển đã phát hiện các gói tin tấn công giao thức SMB liên tục gửi qua lại giữa các máy tính trong mạng của nhiều doanh nghiệp, tổ chức. Chỉ trong vài tiếng, đã có hàng trăm máy tính của một doanh nghiệp bị nhiễm mã độc.

Các chuyên gia CyRadar nhận định, các gói tin SMB được gửi nội bộ giữa các máy tính chính mã khai thác lỗ hổng MS17-010 của Windows hay còn được biết đến dưới cái tên EternalBlue, do NSA phát triển (National Security Agency) đã bị lộ vào 4/2017.

Cách thức lây lan của mã độc
Cách thức lây lan của mã độc.

Khi một máy tính trong mạng bị nhiễm, mã độc sẽ tự động dò quét các IP trong cùng mạng nội bộ (LAN). Sau đó, nó sẽ sử dụng mã khai thác EternalBlue để lây lan qua cổng 445 của những máy tính tồn tại lỗ hổng. Nếu các máy mới bị nhiễm kết nối sang mạng khác, thì việc lây lan lại tiếp diễn và mở rộng.

Mã độc mới này không chỉ có khả năng duy trì kết nối tới server điều khiển, sẵn sàng nhận lệnh, tải file, như một backdoor thông thường, mà còn có thể thực hiện đào tiền ảo cho các tin tặc. Loại tiền mà nó khai thác là Monero.

File SecUpdateHost.exe thực chất là một “coin miner”File SecUpdateHost.exe thực chất là một “coin miner”.

CyRadar đã phát hiện tham số được truyền cho file miner khi chạy là:

Tham số được truyền cho file miner khi chạy

Các chuyên gia CyRadar đã tiến hành phân tích virus, kết quả cho thấy tên miền điều khiển được sử dụng cho mã độc này là:

  • ccc.njaavfxcgk3.club, được đăng ký vào ngày 17/11/2017, và bắt đầu trỏ đến một máy chủ (IP 45.32.127.108) từ ngày 08/01/2018.
  • “phimhayhdviet1.us” và “phimhayhdviet2.us”, được đăng ký vào cuối năm 2017, và được trỏ tới server 45.32.127.108 vào đầu năm 2018.

Khi kiểm tra về server này các chuyên gia phát hiện cổng 36215 dành cho phiên bản virus này tải file xuống máy đã bị đóng, nhưng có một số cổng “lạ” khác đang mở (48882, 48883):

Một số cổng “lạ” khác đang mở

Mặc dù các tên miền này giống một website, nhưng trên server nó trỏ đến lại không mở bất cứ cổng thông thường nào dành cho website (80 và 443). Chính vì vậy, CyRadar cho rằng cả 3 tên miền trên đều do một người hoặc một nhóm người biết tiếng Việt tạo ra. Hiện vẫn chưa có ghi nhận mã độc nào kết nối tới các tên miền “phimhayhdviet” nhưng rất có thể tin tặc sẽ sử dụng nó trong một chiến dịch tấn công khác.

Người dùng cần làm gì để tự bảo vệ mình trước sự tấn công của mã độc?

  • Người dùng cần thường xuyên cập nhật các bản vá cho hệ điều hành và các phần mềm chạy trên đó.
  • Trang bị các phần mềm diệt virus của các hãng uy tín.
  • Các tổ chức, doanh nghiệp cần trang bị hệ thống giám sát mạng, có thể thực hiện thêm bước cô lập mạng giữa các máy tính trong mạng với nhau, để tránh khả năng lây lan nội bộ.

Nguồn: quantrimang.com

BÀI VIẾT CÙNG CHUYÊN MỤC