Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
[Update] Mã độc trên OS X sử dụng Reddit để lấy IP server điều khiển
Một loại mã độc trên Mac mới được phát hiện, sử dụng dịch vụ tìm kiếm của reddit.com để truy cập danh sách server điều khiển (C&C server).
Thông tin về các địa chỉ IP và cổng kết nối được tội phạm mạng đưa vào phần comment trên trang Reddit. Sau khi lây nhiễm máy tính, malware chạy một yêu cầu tìm kiếm trên website. Yêu cầu này được che giấu rất kỹ và bao gồm các giá trị thập lục phân của 8 byte đầu tiên từ hàm băm MD5 tại thời điểm hiện tại.
Trong khi nghiên cứu về các mối đe dọa mới trên thiết bị sử dụng hệ điều hành OS X, các chuyên gia của hãng an ninh mạng Nga Doctor Web đã phát hiện dấu hiệu hình thành của một mạng botnet mới. Malware được Doctor Web đặt tên là Mac.BackDoor.iWorm. Dữ liệu thống kê của hãng cho thấy iWorm lây nhiễm trên nhiều hệ thống, và có hơn 17.000 địa chỉ IP khác nhau kết nối tới các hệ thống này.
Trong đó, quốc gia bị lây nhiễm malware nhiều nhất là Mỹ với hơn 4.500 (26,1%) máy tính bị xâm nhập. Canada và Anh có mức độ lây nhiễm tương đương với khoảng 1.230 địa chỉ IP từ các máy bị nhiễm.
Các chuyên gia cho biết tin tặc sử dụng C++ và Lua để viết và bổ sung khả năng mã hóa cho malware.
Các IP của server điều khiển C&C có vẻ được đăng tải lên Reddit bởi tài khoản “vtnhiaovyd” trong bài “danh sách máy chủ Minescraft” (minescraftserverlists) nhằm xóa bỏ hoài nghi về việc các địa chỉ này được dùng cho mục đích xấu.
Sau khi thiết lập liên lạc với server điều khiển, malware chạy một đoạn mã xác thực. Chỉ khi máy chủ điều khiển từ xa được xác nhận, dữ liệu về máy tính bị xâm nhập mới được gửi đi.
iWorm sử dụng script Lua để lấy các thông số về loại hệ điều hành, phiên bản của iWorm, và UID, tải các file, tạo socket mở kết nối tới server điều khiển và thực thi các lệnh nhận được, cấm các nút mạng bằng IP, thực thi lệnh hệ thống hoặc script Lua ngầm.
Với khả năng tải và thực thi các tập tin và chỉ thị lệnh (command), iWorm có thể tạo điều kiện cho một loạt các hình thức tấn công, từ lấy cắp thông tin trên hệ thống, gửi spam đến tham gia vào tấn công DDoS.
Malware trên OS X không phải hiếm và botnet trên Mac đã từng được phát hiện trước đây. Vụ việc đình đám với malware Flashback, tấn công hơn 600.000 máy tính Mac vào năm 2012 là một ví dụ.
Đầu năm 2014, hãng Intego cũng thông báo về Trojan tạo các bot xâm nhập hơn 22.000 máy tính.
Thông tin về các địa chỉ IP và cổng kết nối được tội phạm mạng đưa vào phần comment trên trang Reddit. Sau khi lây nhiễm máy tính, malware chạy một yêu cầu tìm kiếm trên website. Yêu cầu này được che giấu rất kỹ và bao gồm các giá trị thập lục phân của 8 byte đầu tiên từ hàm băm MD5 tại thời điểm hiện tại.
Trong khi nghiên cứu về các mối đe dọa mới trên thiết bị sử dụng hệ điều hành OS X, các chuyên gia của hãng an ninh mạng Nga Doctor Web đã phát hiện dấu hiệu hình thành của một mạng botnet mới. Malware được Doctor Web đặt tên là Mac.BackDoor.iWorm. Dữ liệu thống kê của hãng cho thấy iWorm lây nhiễm trên nhiều hệ thống, và có hơn 17.000 địa chỉ IP khác nhau kết nối tới các hệ thống này.
Trong đó, quốc gia bị lây nhiễm malware nhiều nhất là Mỹ với hơn 4.500 (26,1%) máy tính bị xâm nhập. Canada và Anh có mức độ lây nhiễm tương đương với khoảng 1.230 địa chỉ IP từ các máy bị nhiễm.
Các chuyên gia cho biết tin tặc sử dụng C++ và Lua để viết và bổ sung khả năng mã hóa cho malware.
Các IP của server điều khiển C&C có vẻ được đăng tải lên Reddit bởi tài khoản “vtnhiaovyd” trong bài “danh sách máy chủ Minescraft” (minescraftserverlists) nhằm xóa bỏ hoài nghi về việc các địa chỉ này được dùng cho mục đích xấu.
Sau khi thiết lập liên lạc với server điều khiển, malware chạy một đoạn mã xác thực. Chỉ khi máy chủ điều khiển từ xa được xác nhận, dữ liệu về máy tính bị xâm nhập mới được gửi đi.
iWorm sử dụng script Lua để lấy các thông số về loại hệ điều hành, phiên bản của iWorm, và UID, tải các file, tạo socket mở kết nối tới server điều khiển và thực thi các lệnh nhận được, cấm các nút mạng bằng IP, thực thi lệnh hệ thống hoặc script Lua ngầm.
Với khả năng tải và thực thi các tập tin và chỉ thị lệnh (command), iWorm có thể tạo điều kiện cho một loạt các hình thức tấn công, từ lấy cắp thông tin trên hệ thống, gửi spam đến tham gia vào tấn công DDoS.
Malware trên OS X không phải hiếm và botnet trên Mac đã từng được phát hiện trước đây. Vụ việc đình đám với malware Flashback, tấn công hơn 600.000 máy tính Mac vào năm 2012 là một ví dụ.
Đầu năm 2014, hãng Intego cũng thông báo về Trojan tạo các bot xâm nhập hơn 22.000 máy tính.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: