Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc tống tiền KimcilWare nhắm tới các website Magento
Các chuyên gia vừa phát hiện hoạt động của dòng mã độc tống tiền mới có tên KimcilWare. Mã độc này mã hóa tập tin trên các website chạy nền tảng Magento – một trong những nền tảng thương mại điện tử e-Commerce phổ biến nhất thế giới.
Theo các chuyên gia phát hiện lỗ hổng đến từ Malware Hunter Team và Bleeping Computer, một khi lây nhiễm máy chủ web, một phiên bản của ransomeware mã hóa các tập tin và thêm đuôi .kimcilware cho các tập tin đó. Tin tặc cũng thêm một tập tin “index.html” vào website bị lây nhiễm, hướng dẫn người dùng trả 140 USD để khôi phục dữ liệu.
Một phiên bản khác của mã độc thêm đuôi .locked cho các tập tin bị mã hóa và yêu cầu người dùng trả 1 Bitcoin (khoảng 415 USD) để nhận gói giải mã.
Theo các chuyên gia, mã độc sử dụng một mật mã khóa để mã hóa các tập tin, và đến thời điểm hiện tại, chưa có cách nào có thể khôi phục dữ liệu ngoài việc trả tiền chuộc.
Thống kê của VirusTotal cho thấy, hiện tại chỉ có phần mềm diệt virus của Bkav và Trend Micro phát hiện được mã độc.
Malware Hunter Team cho biết không chắc chắn KimcilWare được xây dựng chỉ để nhắm tới các website Magento, nhưng chưa thấy có báo cáo nào về việc lây nhiễm mã độc trên các nền tảng khác. Các chuyên gia cũng cho biết mã độc có thể nhắm tới một website PHP bất kỳ.
Các nạn nhân bị lây nhiễm KimcilWare được tin tặc hướng dẫn liên lạc theo địa chỉ tuyuljahat(at)hotmail.com. Địa chỉ này cũng được MireWare, mã độc tống tiền trên Windows sử dụng.
Hiện vẫn chưa rõ cách thức tin tặc sử dụng để lây nhiễm KimcilWare vào các website Magento. Tuy nhiên, thời gian vừa qua Magento vá nhiều lỗ hổng nghiêm trọng. Bản cập nhật an ninh gần đây nhất được Magento đưa ra vào ngày 30/3 vá lỗ hổng XSS (cross-site scripting), thực thi mã (code execution), dò mật khẩu (brute force), tiết lộ thông tin, và vấn đề trong cơ chế bảo vệ dữ liệu.
Magento đưa ra một vài cảnh báo an ninh trong tuần trước, khuyến cáo người dùng về cuộc tấn công mã độc mới nhằm lấy cắp thông tin nhạy cảm. Nhà phát triển nền tảng thương mại phổ biến này cảnh báo về chiến dịch tin tặc thực hiện dò mật khẩu để chiếm quyền truy cập trang quản trị.
Nguyên nhân lây nhiễm cũng có thể do một bên thứ ba. Một quản trị website Magento đã thông báo rằng các tập tin của mình bị mã hóa sau khi cài đặt mở rộng (extension) Helios Vimeo Video Gallery.
Các chuyên gia Bkav khuyến cáo, để phòng chống virus mã hóa dữ liệu, quản trị cần thường xuyên rà soát website của mình để phát hiện các điểm yếu có thể bị hacker tấn công, upload file. Về phía người sử dụng, cần cài thường trực phần mềm diệt virus có khả năng chống virus mã hoá dữ liệu. Người sử dụng phần mềm Bkav Pro được tự động bảo vệ nhờ tính năng phát hiện thông minh Anti Ransomware.
Theo các chuyên gia phát hiện lỗ hổng đến từ Malware Hunter Team và Bleeping Computer, một khi lây nhiễm máy chủ web, một phiên bản của ransomeware mã hóa các tập tin và thêm đuôi .kimcilware cho các tập tin đó. Tin tặc cũng thêm một tập tin “index.html” vào website bị lây nhiễm, hướng dẫn người dùng trả 140 USD để khôi phục dữ liệu.
Một phiên bản khác của mã độc thêm đuôi .locked cho các tập tin bị mã hóa và yêu cầu người dùng trả 1 Bitcoin (khoảng 415 USD) để nhận gói giải mã.
Theo các chuyên gia, mã độc sử dụng một mật mã khóa để mã hóa các tập tin, và đến thời điểm hiện tại, chưa có cách nào có thể khôi phục dữ liệu ngoài việc trả tiền chuộc.
Thống kê của VirusTotal cho thấy, hiện tại chỉ có phần mềm diệt virus của Bkav và Trend Micro phát hiện được mã độc.
Malware Hunter Team cho biết không chắc chắn KimcilWare được xây dựng chỉ để nhắm tới các website Magento, nhưng chưa thấy có báo cáo nào về việc lây nhiễm mã độc trên các nền tảng khác. Các chuyên gia cũng cho biết mã độc có thể nhắm tới một website PHP bất kỳ.
Các nạn nhân bị lây nhiễm KimcilWare được tin tặc hướng dẫn liên lạc theo địa chỉ tuyuljahat(at)hotmail.com. Địa chỉ này cũng được MireWare, mã độc tống tiền trên Windows sử dụng.
Hiện vẫn chưa rõ cách thức tin tặc sử dụng để lây nhiễm KimcilWare vào các website Magento. Tuy nhiên, thời gian vừa qua Magento vá nhiều lỗ hổng nghiêm trọng. Bản cập nhật an ninh gần đây nhất được Magento đưa ra vào ngày 30/3 vá lỗ hổng XSS (cross-site scripting), thực thi mã (code execution), dò mật khẩu (brute force), tiết lộ thông tin, và vấn đề trong cơ chế bảo vệ dữ liệu.
Magento đưa ra một vài cảnh báo an ninh trong tuần trước, khuyến cáo người dùng về cuộc tấn công mã độc mới nhằm lấy cắp thông tin nhạy cảm. Nhà phát triển nền tảng thương mại phổ biến này cảnh báo về chiến dịch tin tặc thực hiện dò mật khẩu để chiếm quyền truy cập trang quản trị.
Nguyên nhân lây nhiễm cũng có thể do một bên thứ ba. Một quản trị website Magento đã thông báo rằng các tập tin của mình bị mã hóa sau khi cài đặt mở rộng (extension) Helios Vimeo Video Gallery.
Các chuyên gia Bkav khuyến cáo, để phòng chống virus mã hóa dữ liệu, quản trị cần thường xuyên rà soát website của mình để phát hiện các điểm yếu có thể bị hacker tấn công, upload file. Về phía người sử dụng, cần cài thường trực phần mềm diệt virus có khả năng chống virus mã hoá dữ liệu. Người sử dụng phần mềm Bkav Pro được tự động bảo vệ nhờ tính năng phát hiện thông minh Anti Ransomware.
Nguồn: SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: