WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Trojan Linux chụp ảnh màn hình sau mỗi 30 giây
Các nhà nghiên cứu vừa công bố một loại Trojan Linux mới được thiết kế để giúp tội phạm mạng theo dõi người dùng.
Mã độc Linux.Ekoms.1, do Dr. Web phát hiện, chụp ảnh màn hình sau mỗi 30 giây và lưu vào một thư mục tạm thời trong định dạng JPEG sử dụng đuôi mở rộng .sst. Nếu ảnh chụp màn hình không thể lưu ở dạng JPEG, Ekoms sẽ cố gắng lưu trong định dạng ảnh BMP.
Phân tích cho thấy tác giả của Trojan này còn có ý định xây dựng tính năng ghi và lưu lại âm thanh định dạng WAV trong một tập tin có đuôi mở rộng .aat trong cùng thư mục tạm thời. Dù có tồn tại, tính năng ghi âm không hoạt động trong biến thể Ekoms mà Dr. Web phân tích.
Mã độc được thiết kế để định kỳ tìm kiếm các tập tin có tên và phần mở rộng nhất định trong thư mục tạm thời. Mã độc tìm kiếm các tập tin .aat và .sst, vốn để lưu trữ ảnh chụp màn hình và ghi âm, và các tập tin .ddt và .kkt, cho thấy tác giả của mã độc cũng có thể đang nhắm mục tiêu đến các nội dung khác nữa.
Các tập tin phù hợp với tiêu chí tìm kiếm được tải lên máy chủ từ xa có địa chỉ được mã hóa cứng trong mã độc. Tất cả các dữ liệu mà Linux.Ekoms.1 gửi đến máy chủ đều được mã hóa.
Kẻ tấn công có thể sử dụng máy chủ C&C để gửi đi các lệnh khác nhau, bao gồm tải các tập tin khác, kích hoạt hoặc vô hiệu hóa các dịch vụ cụ thể. Một số hướng dẫn chưa được thực hiện cũng cho thấy Trojan này vẫn đang được phát triển.
Hệ thống Linux đang ngày càng trở thành mục tiêu của rất nhiều loại mã độc, và rất nhiều trong đó được thiết kế giúp kẻ xấu tiến hành các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Ransomware Linux cũng đã xuất hiện trong thời gian qua. Ransomware mã hóa tập tin Linux.Encoder nhắm mục tiêu vào máy chủ web, các trang web, sao lưu và mã nguồn được lưu trữ trên máy tính bị lây nhiễm.
Linux.Encoder đã lây nhiễm hàng ngàn thiết bị, nhưng các nhà nghiên cứu đã tìm thấy một lỗ hổng giúp phục hồi các tập tin bị mã hóa mà không phải trả tiền chuộc. Linux.Encoder được phát triển dựa trên Tear Hidden, một ransomware mã nguồn mở mà tác giả đã cố tình làm suy yếu mã hóa để tránh lạm dụng.
Mã độc Linux.Ekoms.1, do Dr. Web phát hiện, chụp ảnh màn hình sau mỗi 30 giây và lưu vào một thư mục tạm thời trong định dạng JPEG sử dụng đuôi mở rộng .sst. Nếu ảnh chụp màn hình không thể lưu ở dạng JPEG, Ekoms sẽ cố gắng lưu trong định dạng ảnh BMP.
Phân tích cho thấy tác giả của Trojan này còn có ý định xây dựng tính năng ghi và lưu lại âm thanh định dạng WAV trong một tập tin có đuôi mở rộng .aat trong cùng thư mục tạm thời. Dù có tồn tại, tính năng ghi âm không hoạt động trong biến thể Ekoms mà Dr. Web phân tích.
Mã độc được thiết kế để định kỳ tìm kiếm các tập tin có tên và phần mở rộng nhất định trong thư mục tạm thời. Mã độc tìm kiếm các tập tin .aat và .sst, vốn để lưu trữ ảnh chụp màn hình và ghi âm, và các tập tin .ddt và .kkt, cho thấy tác giả của mã độc cũng có thể đang nhắm mục tiêu đến các nội dung khác nữa.
Các tập tin phù hợp với tiêu chí tìm kiếm được tải lên máy chủ từ xa có địa chỉ được mã hóa cứng trong mã độc. Tất cả các dữ liệu mà Linux.Ekoms.1 gửi đến máy chủ đều được mã hóa.
Kẻ tấn công có thể sử dụng máy chủ C&C để gửi đi các lệnh khác nhau, bao gồm tải các tập tin khác, kích hoạt hoặc vô hiệu hóa các dịch vụ cụ thể. Một số hướng dẫn chưa được thực hiện cũng cho thấy Trojan này vẫn đang được phát triển.
Hệ thống Linux đang ngày càng trở thành mục tiêu của rất nhiều loại mã độc, và rất nhiều trong đó được thiết kế giúp kẻ xấu tiến hành các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Ransomware Linux cũng đã xuất hiện trong thời gian qua. Ransomware mã hóa tập tin Linux.Encoder nhắm mục tiêu vào máy chủ web, các trang web, sao lưu và mã nguồn được lưu trữ trên máy tính bị lây nhiễm.
Linux.Encoder đã lây nhiễm hàng ngàn thiết bị, nhưng các nhà nghiên cứu đã tìm thấy một lỗ hổng giúp phục hồi các tập tin bị mã hóa mà không phải trả tiền chuộc. Linux.Encoder được phát triển dựa trên Tear Hidden, một ransomware mã nguồn mở mà tác giả đã cố tình làm suy yếu mã hóa để tránh lạm dụng.
Nguồn: SecurityWeek