Phát hiện botnet núp bóng YouTube lén lút triển khai hoạt động độc hại
Thế giới internet luôn vận động không ngừng, và các tác nhân độc hại trong thế giới ảo này cũng tích cực thay đổi để thích ứng với guồng quay đó. Mới đây, một botnet vốn đã được biết đến từ lâu đã âm thầm thay đổi hành vi độc hại, chuyển hướng sang các hoạt động liên quan đến tiền điện tử và lợi dụng chính YouTube làm nơi ẩn náu trong một thời gian dài.
Botnet này có tên Statinko, được biết đến lần đầu vào năm 2012 và được sử dụng như một phần của các chiến dịch truyền bá quảng cáo độc hại quy mô lớn. Tuy nhiên theo phát hiện mới đây của các chuyên gia bảo mật đến từ đội ngũ ESET spol s.r.o, Statinko với quy mô hiện tại lên tới hơn 500.000 máy tính đã chuyển hướng từ phần mềm quảng cáo và các hoạt động bất chính khác sang hoạt động phân phối mô-đun khai thác tiền điện tử. Đặc biệt, Botnet này đã núp bóng YouTube để lén lút triển khai hoạt động độc hại trong một thời gian dài mà không bị phát hiện.
Mô-đun khai thác tiền điện tử đang được phân phối bởi Statinko nhiều khả năng là phiên bản sửa đổi nâng cao của xmr-stak – một loại tiền điện tử mã nguồn mở phổ biến vốn cũng sở hữu các chuỗi mã hóa và chức năng ẩn mình vô cùng hiệu quả.
Để tránh bị phát hiện, Statinko đã sử dụng YouTube để xác định proxy thay vì giao tiếp trực tiếp với nhóm khai thác – hoạt động khiến nó dễ bị phát hiện hơn. Phần mô tả của các video được botnet tải lên YouTube chứa đựng nhiều chuỗi văn bản cho thấy tập lệnh truy cập giúp triển khai hoạt động khai thác tiền ảo Monero bất hợp pháp. Chính điều này đã qua mặt được cả YouTube lẫn các nhóm bảo mật độc lập trong một thời gian dài.
Nhóm nghiên cứu bảo mật ESET đã liên hệ với YouTube để thông báo phát hiện của mình, và các video cũng như tài khoản liên quan đã bị gỡ xuống. Tuy nhiên vụ việc trên đã nêu bật một số phương thức độc đáo đang được tin tặc sử dụng để che dấu các hoạt động vi phạm của mình, chẳng hạn như lợi dụng các trang web và công cụ phổ biến để tránh bị phát hiện.
Nguồn quantrimang