Trojan Linux sử dụng các thiết bị IoT bị hack để gửi thư rác

08:00 | 12/10/2017 | HACKER / MALWARE

Gần đây, các nghiên cứu của công ty an ninh Doctor Web (Nga) đã phát hiện ra một trojan trên thiết bị IoT chạy Linux được tội phạm mạng sử dụng để gửi thư rác với mục đích lừa đảo.

Trojan được gọi là Linux.ProxyM, là botnet giống như mã độc Mirai, có khả năng lây nhiễm các thiết bị Internet of things (IoT) được các tội phạm mạng sử dụng để đảm bảo ẩn danh trực tuyến nhằm mục đích gửi thư rác để kiếm tiền.

Linux.ProxyM được công ty Doctor Web phát hiện vào tháng 2/2017, chạy một máy chủ proxy SOCKS trên thiết bị IoT bị lây nhiễm và có khả năng phát hiện hệ thống tài nguyên thông tin (honeypots) để tránh các nhà nghiên cứu phần mềm độc hại.

Linux.ProxyM có thể hoạt động trên hầu hết các thiết bị Linux, bao gồm các bộ định tuyến, hộp thiết bị giải mã tín hiệu truyền hình (set-top) và các thiết bị khác có các kiến trúc như: x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh và SPARC.

Sau khi bị nhiễm Linux.ProxyM, thiết bị sẽ kết nối với một máy chủ C&C và tải các địa chỉ trên Internet để cung cấp một danh sách các đăng nhập và mật khẩu cần thiết cho máy chủ proxy SOCKS hoạt động.

Máy chủ C&C cũng gửi một lệnh có chứa địa chỉ máy chủ giao thức truyền tải thư điện tử (Simple Mail Transfer Protocol-SMTP), các thông tin được sử dụng để truy cập danh sách các địa chỉ thư điện tử và một mẫu tin nhắn chứa quảng cáo cho các trang web khác nhau. Trung bình mỗi thiết bị bị nhiễm sẽ gửi 400 email như vậy mỗi ngày.

Mặc dù tổng số thiết bị bị nhiễm Trojan này vẫn chưa được biết đến, nhưng các nhà phân tích của Doctor Web tin rằng con số này đã thay đổi qua nhiều tháng.

Phần lớn các thiết bị bị nhiễm trojan được đặt ở Braxin và Mỹ, sau đó là Nga, Ấn Độ, Mexico, Ý, Thổ Nhĩ Kỳ, Ba Lan, Pháp và Argentina.

Để bảo vệ thiết bị thông minh khỏi bị tấn công, người dùng cần một thiết bị để bảo vệ toàn bộ mạng gia đình của bạn và các thiết bị được kết nối. Các chuyên gia an ninh mạng khuyến cáo người dùng một số cách đơn giản để bảo vệ thiết bị IoT như sau:

1. Thay đổi mật khẩu mặc định: Nếu người dùng có thiết bị kết nối Internet nên thay đổi mật khẩu theo định kỳ.

2. Tắt giao thức mạng Universal Plug and Play (UPnP): UPnP được kích hoạt mặc định trên mọi thiết bị kết nối Internet, tạo ra lỗ hổng trong bảo mật router của người dùng có thể cho phép phần mềm độc hại xâm nhập bất kỳ phần nào trên mạng cục bộ của người dùng. Vì vậy, người dùng cần kiểm tra để tắt tính năng “Universal Plug and Play”.

3. Vô hiệu hoá quản lý từ xa thông qua Telnet: Vào cài đặt router của người dùng và vô hiệu hóa Remote Management Protocol, đặc biệt thông qua Telnet, bởi vì giao thức này được sử dụng để cho phép một máy tính điều khiển một từ xa. Nó cũng đã được sử dụng trong các cuộc tấn công Mirai trước.

4. Kiểm tra cập nhật phần mềm và các bản vá lỗ hổng: luôn giữ các thiết bị kết nối Internet và bộ định tuyến của người dùng cập nhật với phần mềm cơ sở mới nhất của nhà cung cấp.

Hồng Loan

(tổng hợp theo The Hacker News)

‹ › ×

Tin liên quan

Lượng phần mềm độc hại nhắm vào thiết bị IoT tăng gấp đôi trong năm 2017

16:00 | 20/12/2017

Thế giới đang bước vào nền Công nghiệp 4.0 với sự phát triển bùng nổ của các công nghệ mang tính đột phá, trong đó có Internet vạn vật (Internet of Things - IoT). Theo các chuyên gia nghiên cứu của Kaspersky Lab, người dùng ngày càng phải đối mặt với những rủi ro mất an toàn thông tin từ phần mềm độc hại nhắm vào các thiết bị kết nối này.

Trojan quảng cáo lây nhiễm hàng nghìn website thông qua plug-in CMS

09:00 | 31/05/2018

Mới đây, một chiến dịch lừa đảo với mục tiêu khiến các website hiển thị các quảng cáo độc hại và chuyển hướng người dùng đến thông báo “máy tính bị nhiễm Trojan”, hoặc “mã độc đã gây ảnh hưởng tới hàng nghìn website”.

Microsoft cảnh báo chiến dịch phần mềm độc hại phát tán Trojan giả dạng mã độc tống tiền

15:00 | 10/06/2021

Mới đây, nhóm bảo mật của Microsoft đã công bố chi tiết về một chiến dịch phần mềm độc hại phát tán một loại Trojan truy cập từ xa có tên là STRRAT, đánh cắp dữ liệu từ các hệ thống bị nhiễm, giả dạng dưới một cuộc tấn công mã độc tống tiền.

Phát hiện mã độc hoạt động bí mật 3 năm trên Linux

16:00 | 26/05/2021

Các nhà nghiên cứu vừa phát hiện một mã độc mới trên Linux có khả năng tạo backdoor và nằm ngoài phạm vi rà quét của hệ thống giám sát trong ba năm. Tin tặc đã sử dụng mã độc này để thu thập và trích xuất thông tin nhạy cảm từ các hệ thống bị ảnh hưởng.

Phát hiện Trojan sử dụng chữ ký số hợp pháp

16:00 | 24/09/2018

Ngày 11/9/2018, đại diện hãng bảo mật Kaspersky tại Việt Nam cho biết đã phát hiện một biến thể Trojan mới tinh vi sử dụng chữ ký số hợp pháp.

Hiểm họa từ Trojan GPlayed

07:00 | 01/04/2019

Ngày 11/10/2018, nhóm nghiên cứu của Cisco (Cisco Talos) đã công bố thông tin về một loại mã độc mới trên hệ điều hành Android có tên gọi GPlayed. Đây là một loại trojan mới được tích hợp nhiều tính năng độc hại. Bài báo này thực hiện phân tích chi tiết của Trojan GPlayed.

Các xu hướng IoT nổi bật và vấn đề đảm bảo an toàn IoT với blockchain

08:00 | 15/06/2018

IoT là một ngành công nghiệp đang phát triển, trong tương lai gần sẽ xuất hiện nhiều điều mới đối với các nhà phát triển và ngành công nghiệp IoT. Cả doanh nghiệp và khách hàng đều đang tiếp tục tìm kiếm những cải tiến lớn. Thế giới đang sẵn sàng đón nhận những tác động mà IoT mang lại cho cuộc sống. Bài viết sẽ trình bày các xu hướng nổi bật của IoT mà các nhà phát triển có thể hướng tới trong năm 2018 và vấn đề đảm bảo an toàn IoT với công nghệ blockchain.

Việt Nam đứng thứ 6 về phát tán thư rác Quý II/2018

08:00 | 07/09/2018

Theo kết quả thống kê được hãng bảo mật Kaspersky Lab công bố, trong Quý II/2018, Việt Nam là quốc gia đứng thứ 6 về phát tán thư rác trên toàn cầu.

Tin cùng chuyên mục

Phát hiện lỗ hổng nghiêm trọng trong ASF của Microchip

09:00 | 08/10/2024

Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.

5 cách tin tặc vượt qua xác thực hai yếu tố

14:00 | 24/09/2024

Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.

Thêm 2 lỗ hổng Twilio Authy và IE vào danh sách các lỗ hổng bị khai thác

13:00 | 01/08/2024

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.

Tin tặc mạo danh Apple để đánh cắp thông tin đăng nhập

08:00 | 12/07/2024

Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.