Trojan được gọi là Linux.ProxyM, là botnet giống như mã độc Mirai, có khả năng lây nhiễm các thiết bị Internet of things (IoT) được các tội phạm mạng sử dụng để đảm bảo ẩn danh trực tuyến nhằm mục đích gửi thư rác để kiếm tiền.
Linux.ProxyM được công ty Doctor Web phát hiện vào tháng 2/2017, chạy một máy chủ proxy SOCKS trên thiết bị IoT bị lây nhiễm và có khả năng phát hiện hệ thống tài nguyên thông tin (honeypots) để tránh các nhà nghiên cứu phần mềm độc hại.
Linux.ProxyM có thể hoạt động trên hầu hết các thiết bị Linux, bao gồm các bộ định tuyến, hộp thiết bị giải mã tín hiệu truyền hình (set-top) và các thiết bị khác có các kiến trúc như: x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh và SPARC.
Sau khi bị nhiễm Linux.ProxyM, thiết bị sẽ kết nối với một máy chủ C&C và tải các địa chỉ trên Internet để cung cấp một danh sách các đăng nhập và mật khẩu cần thiết cho máy chủ proxy SOCKS hoạt động.
Máy chủ C&C cũng gửi một lệnh có chứa địa chỉ máy chủ giao thức truyền tải thư điện tử (Simple Mail Transfer Protocol-SMTP), các thông tin được sử dụng để truy cập danh sách các địa chỉ thư điện tử và một mẫu tin nhắn chứa quảng cáo cho các trang web khác nhau. Trung bình mỗi thiết bị bị nhiễm sẽ gửi 400 email như vậy mỗi ngày.
Mặc dù tổng số thiết bị bị nhiễm Trojan này vẫn chưa được biết đến, nhưng các nhà phân tích của Doctor Web tin rằng con số này đã thay đổi qua nhiều tháng.
Phần lớn các thiết bị bị nhiễm trojan được đặt ở Braxin và Mỹ, sau đó là Nga, Ấn Độ, Mexico, Ý, Thổ Nhĩ Kỳ, Ba Lan, Pháp và Argentina.
Để bảo vệ thiết bị thông minh khỏi bị tấn công, người dùng cần một thiết bị để bảo vệ toàn bộ mạng gia đình của bạn và các thiết bị được kết nối. Các chuyên gia an ninh mạng khuyến cáo người dùng một số cách đơn giản để bảo vệ thiết bị IoT như sau:
1. Thay đổi mật khẩu mặc định: Nếu người dùng có thiết bị kết nối Internet nên thay đổi mật khẩu theo định kỳ.
2. Tắt giao thức mạng Universal Plug and Play (UPnP): UPnP được kích hoạt mặc định trên mọi thiết bị kết nối Internet, tạo ra lỗ hổng trong bảo mật router của người dùng có thể cho phép phần mềm độc hại xâm nhập bất kỳ phần nào trên mạng cục bộ của người dùng. Vì vậy, người dùng cần kiểm tra để tắt tính năng “Universal Plug and Play”.
3. Vô hiệu hoá quản lý từ xa thông qua Telnet: Vào cài đặt router của người dùng và vô hiệu hóa Remote Management Protocol, đặc biệt thông qua Telnet, bởi vì giao thức này được sử dụng để cho phép một máy tính điều khiển một từ xa. Nó cũng đã được sử dụng trong các cuộc tấn công Mirai trước.
4. Kiểm tra cập nhật phần mềm và các bản vá lỗ hổng: luôn giữ các thiết bị kết nối Internet và bộ định tuyến của người dùng cập nhật với phần mềm cơ sở mới nhất của nhà cung cấp.
Hồng Loan
(tổng hợp theo The Hacker News)
16:00 | 20/12/2017
09:00 | 31/05/2018
15:00 | 10/06/2021
16:00 | 26/05/2021
16:00 | 24/09/2018
07:00 | 01/04/2019
08:00 | 15/06/2018
08:00 | 07/09/2018
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
14:00 | 24/09/2024
Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.
13:00 | 01/08/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.
08:00 | 12/07/2024
Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024