Để triệt phá Necurs, Microsoft đã dùng thuật toán để phân tích kỹ thuật mà mạng máy tính ma (botnet) tạo ra các tên miền ngẫu nhiên. Qua các tên miền này, hacker đứng sau có thể lưu trữ máy chủ chỉ huy và kiểm soát máy tính nạn nhân (bot).

“Chúng tôi đã dự đoán chính xác hơn sáu triệu tên miền mà Necurs sẽ tạo ra trong 25 tháng tới”, Tom Burt, Phó Chủ tịch dịch vụ Bảo mật khách hàng của Microsoft nói. Công ty lập tức thông báo cho các cơ quan đăng ký tên miền, cơ quan an ninh ở 35 quốc gia nhằm ngăn chặn những cuộc tấn công trong tương lai.

Bản đồ các quốc gia bị ảnh hưởng bởi botnet Necurs

Tuần trước, các nhà chức trách Mỹ đã cho phép Microsoft kiểm soát toàn bộ tên miền của Necurs tại nước này. Ngoài chặn tên miền, Microsoft cũng phối hợp với các nhà cung cấp dịch vụ Internet (ISP) để giúp loại bỏ mã độc Necurs khỏi máy tính của khách hàng.

Xuất hiện vào năm 2012, Necurs hiện là một trong những botnet spam lớn nhất thế giới. Mạng máy tính ma này là tập hợp của 9 triệu máy tính lây nhiễm Necurs, mã độc sử dụng tài nguyên để spam số lượng lớn e-mail giả mạo hàng ngày. Trong một cuộc điều tra kéo dài hai tháng, các chuyên gia của Microsoft ghi nhận mỗi máy tính nhiễm Necurs có thể gửi hơn 3,8 triệu e-mail rác tới hơn 40,6 triệu người.

Các e-mail thường chứa thông tin lừa đảo chứng khoán, dược phẩm và hẹn hò với “cô dâu Nga”. Bên cạnh đó, Necurs còn được các nhóm hacker khác thuê để phát tán nhiều loại phần mềm độc hại khác như mã độc tống tiền (ransomware), mã độc giả mạo (trojan) truy cập từ xa và đánh cắp thông tin.

Theo ZD Net, botnet Necurs được điều hành bởi Evil Corp, nhóm hacker có trụ sở ở Nga đã tạo ra trojan Dridex tấn công hệ thống ngân hàng Mỹ vào năm ngoái.

Nguồn VnExpress.net

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Lỗ hổng RDP

Lỗ hổng giao thức Remote desktop protocol (RDP) BlueKeep, và sau đó là DejaBlue, đã trở thành nỗi ác mộng trong năm 2019. Chúng cho phép những kẻ tấn công từ xa khai thác và kiểm soát hoàn toàn các thiết bị điểm cuối bị nhắm mục tiêu. Nỗi ám ảnh về một WannaCry thứ 2 đã buộc Microsoft phải lập tức tung ra các bản vá bảo mật đối với những hệ thống cũ như Windows XP và Windows 2000.

Zero-day

Zero-day là một trong những thành phần không thể thiếu khi nói đến bức tranh bảo mật toàn cảnh trong năm 2019. Đơn cử như trường hợp của Urgent/11, lỗ hổng zero-day này có ảnh hưởng đến 11 lỗ hổng thực thi mã từ xa thời gian thực trong VxWorks OS – một hệ điều hành được sử dụng trong rất nhiều thiết bị cơ sở hạ tầng quan trọng của các tổ chức chính phủ trên toàn thế giới.

Lỗ hổng CPU

Sau Meltdown và Spectre của năm 2018, các lỗ hổng CPU liên quan đến side-channel vẫn tiếp tục “nở rộ” trong năm 2019 với những tên tuổi đình đám như ZombieLoad, Bound Check Bypass Store, Netspectre và NetCAT. Theo dự đoán của giới chuyên gia, tình hình trong năm 2020 chắc chắn sẽ vẫn rất khó khăn, thậm chí sẽ có nhiều biến thể nghiêm trọng hơn được ghi nhận.

Ransomware

Không còn nghi ngờ gì nữa, 2019 chính là năm “cực thịnh” của ransomware kể từ khi loại mã độc tống tiền này được phát hiện lần đầu vào năm 2017. Thay vì nhắm mục tiêu đại trà, trong năm vừa qua các chủng ransomware nói chung đã chuyển hướng tấn công sang những đối tượng có thể giúp chúng thu về nhiều tiền chuộc hơn, bao gồm trường học, bệnh viện, dịch vụ công và đặc biệt là các doanh nghiệp, gây thiệt hại lên tới hàng tỷ USD. Một số chủng ransomware nổi bật phải kể đến trong năm qua bao gồm MegaCortex, Ryuk, LockerGoga, REvil, và PureLocker.

Botnet

Botnet tiếp tục là một công cụ quan trọng trong các cuộc tấn công mạng xảy ra suốt năm vừa qua. Chúng ta đã chứng kiến sự trở lại của botnet Emotet khét tiếng, và đặc biệt là Echobot, một botnet IoT, đã tạo ra mạng lưới khai thác rộng lớn với quy mô lên tới hàng triệu thiết bị. Botnet chắc chắn sẽ vẫn là một vấn nạn trong thế giới bảo mật nhiều năm tới.

Tấn công nhắm vào thiết bị di động

Không nổi cộm như ransomware hay botnet, nhưng các cuộc tấn công nhắm vào thiết bị di động cũng là một mối đe dọa lớn trong năm vừa qua. Nổi bật trong số đó chính là các trojan được lây nhiễm vào smartphone, máy tính bảng của người dùng nhằm đánh cắp thông tin cá nhân như Anubis hay Gustuff Android… ảnh hưởng đến hàng triệu người trên toàn thế giới.

2020 được dự báo sẽ vẫn là một năm đầy khó khăn đối với lĩnh vực bảo mật an ninh mạng. Trên tất cả, chính người dùng cá nhân cũng như các doanh nghiệp hãy tự cập nhật kiến thức, đề cao cảnh giác để bảo đảm sự an toàn cho chính mình.

Nguồn quantrimang

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Botnet này có tên MyKingz (còn được biết đến với biệt danh Smominru, DarkCloud hoặc Hexmen), hiện đang tận dụng steganography – một kỹ thuật cho phép ẩn tệp tin độc hại bên trong các tệp tin hợp lệ nhằm đánh lừa những người “nhẹ dạ cả tin” hoặc không có nhiều kiến thức về bảo mật dữ liệu.

Theo phát hiện của Sophos, những kẻ đứng sau MyKingz đã tiến hành ẩn một tệp thực thi EXE độc hại bên trong hình ảnh JPEG của nữ ca sĩ nổi tiếng Taylor Swift và sử dựng hình ảnh này để đánh lừa, lan truyền mã độc trên máy tính của các nạn nhân khi họ click vào bức ảnh.

Bức ảnh ban đầu (bên trái) trông rất bình thường, nhưng ẩn sâu bên trong nó là file độc

Trên thực tế MyKingz không phải là một Botnet mới mẻ. Nó được phát hiện lần đầu vào năm 2017, tuy nhiên một trong những đặc điểm khiến MyKingz trở nên nguy hiểm chính là khả năng ẩn mình và thay đổi phương thức lây lan vô cùng linh hoạt. Hiện tại, Botnet này được ghi nhận là một trong số ít các phần mềm độc hại khai thác tiền điện tử có quy mô lên tới hàng trăm ngàn thiết bị.

Trong hoạt động thực tế, MyKingz chủ yếu tập trung vào các hệ thống Windows, và đặc biệt, Botnet này đang sở hữu một trong những cơ chế quét, lây nhiễm mã độc tinh vi nhất từng được ghi nhận trên tất cả các botnet đã được biết đến tính tới thời điểm hiện tại. MyKingz có thể nhắm mục tiêu đến mọi hệ thống có liên quan đến Windows, chẳng hạn như MySQL, MS-SQL, Telnet, ssh, IPC, WMI, Remote Desktop (RDP) và thậm chí là cả các máy chủ chạy bộ lưu trữ camera CCTV.

Theo ước tính, chỉ sau vài tháng được tung ra trên quy mô toàn cầu, MyKingz đã lây nhiễm thành công trên 525.000 hệ thống Windows, thu về lượng tiền ảo Monero (XMR) có giá trị lên tới hơn 2,3 triệu đô la. Các quốc gia “ưa thích” của Botnet này bao gồm: Trung Quốc, Đài Loan, Nga, Brazil, Mỹ, Ấn Độ và Nhật Bản.

Báo cáo mới nhất của Sophos cho thấy MyKingz hiện đang lây nhiễm khoảng 4.700 hệ thống mới và giúp những kẻ tấn công bỏ túi 300 đô la mỗi ngày – số tiền không quá lớn nhưng chủ yếu là do tỉ giá của Monero đang trên đà giảm mạnh.

Nguồn quantrimang

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Tội phạm mạng là những nhà đổi mới bận rộn, điều chỉnh vũ khí và chiến lược tấn công của họ, và tàn nhẫn chuyển vùng web để tìm kiếm điểm số lớn tiếp theo của họ.

Mọi cách thông tin nhạy cảm, như hồ sơ nhân viên bí mật, dữ liệu tài chính của khách hàng, tài liệu y tế được bảo vệ và hồ sơ của chính phủ, đều phải chịu các mối đe dọa không ngừng đối với an ninh mạng.

Các giải pháp trải rộng trên phạm vi rộng, từ đào tạo người dùng email đến đảm bảo chuyển đổi tiêu diệt VPN, đến việc thêm các lớp bảo vệ mạng tiên tiến.

Để bảo vệ thành công trước các mối đe dọa nghiêm trọng từ tin tặc, sâu virus đến phần mềm độc hại, chẳng hạn như các cuộc tấn công botnet, các nhà quản lý mạng cần sử dụng tất cả các công cụ và phương pháp phù hợp với chiến lược phòng thủ không gian mạng toàn diện.

Trong tất cả các mối đe dọa được đề cập ở trên với sự an tâm của chủ sở hữu trang web, các botnet được cho là có dạng rủi ro bảo mật đáng lo ngại nhất. Chúng không phải là thành tích đơn thuần của tội phạm mạng nghiệp dư độc hại.

Chúng là những đồ thủ công nghệ thuật tối tân. Điều khiến mọi người lo lắng nhất về họ, có lẽ là khả năng tàng hình, khả năng ẩn nấp của họ để tìm kiếm các lỗ hổng để khai thác vô hình.

Làm thế nào để Botnet hoạt động ?

Bạn có thể làm gì để ngăn chặn Botnet ?

Chiến tuyến phòng thủ không gian mạng phải được điều khiển bởi những người – những người thực sự làm việc tại máy tính của họ, thực hiện các công việc hàng ngày của họ trong văn phòng.

Cách phòng thủ tốt nhất trước các mối đe dọa ngày càng phát triển là giáo dục người dùng là mục tiêu chính của thủ phạm. Những chiến tuyến cụ thể này trải rộng trên phạm vi tương tác web, từ email đến phương tiện truyền thông xã hội.

Bạn nên thực hiện một chiến lược kết hợp nhiều cách tiếp cận sau đây, từ một số giải pháp cơ bản đến các giải pháp tinh vi hơn, có thể thực hiện được cho tổ chức của bạn:

1. Hãy chắc chắn VPN của bạn có công tắc Kill đúng chỗ

Mạng riêng ảo (VPN) cho phép người dùng truy cập thông tin bí mật bằng cách kết nối với VPN thông qua mạng công cộng. Nhà cung cấp VPN của bạn nên có một công tắc tiêu diệt VPN để giữ dữ liệu nhạy cảm, chẳng hạn như địa chỉ IP của bạn, vô tình được truyền qua kết nối không bảo mật.

2. Phát triển hệ thống mạnh mẽ để nắm bắt và chặn email lừa đảo

Một thỏa hiệp email doanh nghiệp là một chiến lược tấn công phổ biến đến mức nó có từ viết tắt riêng và số vụ lừa đảo BEC liên tục tăng. Loại tấn công này là khó khăn để bảo vệ chống lại.

• Các giải pháp để phát hiện và loại bỏ BEC yêu cầu phân loại và chính sách hiệu quả để chặn người gửi email, nội dung và tệp đính kèm đáng ngờ.
• Cài đặt các công cụ web cổng phòng thủ như WebSense, McAfee, để giúp chặn nhận email từ các nguồn không mong muốn và chặn các yêu cầu được gửi đến các địa chỉ được cho là nguồn phần mềm độc hại có thể.

3. Xây dựng văn hóa phòng thủ siêng năng chống lại BEC

Thao túng xã hội được báo cáo là một trong những phương pháp phổ biến nhất mà bọn tội phạm sử dụng để tấn công vào tài khoản email.

Từ lâu họ đã nhận ra rằng nhấp vào tệp đính kèm email là một phản xạ đối với nhiều người dùng bận rộn. Vì vậy, tăng cường bảo mật cho hệ thống của bạn bằng cách:

• Yêu cầu người dùng mở tệp đính kèm email, ngay cả khi tổ chức của bạn có chính sách chính thức, được chôn trong một cuốn sổ tay ở đâu đó có thể về suy nghĩ trước khi nhấp và thúc đẩy chính sách này một cách nổi bật hơn.
• Cung cấp đào tạo và cập nhật thường xuyên cho nhân viên về các tùy chọn của họ để giúp bảo mật mạng, ví dụ, sử dụng mật khẩu mạnh.
• Dạy người dùng cách nhận trợ giúp và sử dụng các giải pháp thời gian thực để cô lập và tránh các loại tấn công khai thác người dùng mạng.
• Dạy người dùng phải siêng năng trong việc báo cáo các email đáng ngờ. Bao gồm các ví dụ về các cuộc tấn công và mô phỏng email trong khóa đào tạo của bạn, để giúp mọi người tìm hiểu cách xác định các cuộc tấn công và cung cấp hỗ trợ thêm cho người dùng có tài khoản dễ bị tổn thương nhất.

4. Chuyển sang Cài đặt phần mềm thủ công

Đó có thể là lời khuyên không phổ biến, nhưng một số tổ chức nên vô hiệu hóa cài đặt phần mềm tự động thông qua tính năng AutoRun dựa trên bối cảnh mối đe dọa của họ.

Không cho phép AutoRun tự động cài đặt phần mềm có thể giúp ngăn hệ điều hành của máy tính khởi chạy bừa bãi các lệnh không mong muốn từ các nguồn bên ngoài không xác định.

5. Kích hoạt Tường lửa Windows

Cài đặt tường lửa Windows là cơ bản để bảo vệ cơ sở chống lại các mối đe dọa bảo mật đến. Người dùng có thể muốn vô hiệu hóa tường lửa Windows để ngăn chặn nó chặn các kết nối mạng mà họ muốn thực hiện.

Nếu các máy tính nối mạng của bạn có bảo vệ tường lửa đầy đủ thay thế, thì có thể tốt hơn hoặc thậm chí cần thiết để vô hiệu hóa tường lửa Windows.

Điểm quan trọng ở đây là bảo vệ tường lửa được cấu hình phù hợp.

6. Ngăn chặn trong mạng

Xem xét ngăn cách mạng. Trong môi trường làm việc ngày nay, nhiều, có lẽ hầu hết, các trạm máy tính phải liên lạc với nhau giữa các bộ phận, thường là nhiều lần mỗi ngày.

Tuy nhiên, việc hạn chế hoặc loại bỏ khả năng đó đối với các máy không cần loại truy cập rộng rãi đó có thể giúp ích rất nhiều trong việc giúp các botnet lan truyền khắp mạng của bạn.

• Đến mức có thể:
  
• Giảm thiểu rủi ro mạng của bạn bằng cách hình thành các mạng cục bộ ảo (Vlan).
  
• Sử dụng các bộ lọc danh sách kiểm soát truy cập (ACL) của bạn để hạn chế quyền truy cập vào các đối tượng và hạn chế tiếp xúc với mối đe dọa.

7. Sử dụng lọc dữ liệu

Phần mềm độc hại Botnet thường hoạt động bằng cách thiết lập các tương tác với ít nhất một máy chủ chỉ huy và kiểm soát từ xa, mà tin tặc cũng sử dụng để trích xuất thông tin nhạy cảm bất hợp pháp.

Để chặn các tương tác độc hại và ngăn chặn hoạt động tội phạm, hãy sử dụng lọc dữ liệu trên thông tin thoát khỏi mạng của bạn.

Một số phương pháp khả thi bao gồm:

• Một công cụ lọc nội dung đi ra có thể được áp dụng, buộc luồng lưu lượng truy cập web của tổ chức của bạn thông qua bộ lọc và ngăn thông tin thoát khỏi mạng của tổ chức của bạn.
• Một giải pháp ngăn ngừa mất dữ liệu (DLP) cũng có thể được sử dụng để giám sát các truy cập và vi phạm trái phép, ngăn chặn chúng rò rỉ thông tin.

8. Phá vỡ mối quan hệ miền tin cậy

Loại bỏ niềm tin mật khẩu để lấy lại quyền kiểm soát chặt chẽ hơn đối với các tài khoản địa phương của bạn. Kiểm soát thận trọng tài khoản quản trị viên địa phương của bạn là điều cần thiết để cắt đứt các mối đe dọa và xóa sổ chúng.

Vô hiệu hóa khả năng tự động của các máy tính để kết nối tắt các tuyến đường được sử dụng bởi các botnet để lưu thông qua mạng nội bộ.

Trong các mạng, nơi một số hoặc nhiều máy tính chứa dữ liệu có độ nhạy cao, điều này có thể cung cấp một giải pháp thay thế an toàn để bảo vệ chống lại các cuộc tấn công botnet.

9. Sử dụng các lớp phòng ngừa bổ sung

Đặt các lớp bảo vệ bổ sung để giúp ngăn các botnet tự khắc phục trong hệ thống của bạn, tập trung vào việc bảo vệ mạng, ví dụ, tại các điểm tiếp xúc cụ thể đặc biệt dễ bị tổn thương, như các tuyến từ một số thành phần phần cứng hoặc phần mềm.

Một vài điều cần ghi nhớ:

• Các hệ thống phát hiện xâm nhập dựa trên máy chủ có hiệu quả đặc biệt, nhưng chúng cũng tốn kém và thường khó triển khai thành công.
• Các công cụ này không thể sửa các khoảng trống hoặc các thiếu sót kỹ thuật hiện có khác trong một hệ điều hành.

10. Tăng cường và tăng cường giám sát mạng

Giám sát chặt chẽ mạng, thông tin về cách người dùng được kết nối đang hoạt động trong một tổ chức, các giải pháp phòng thủ mạng vũ khí đáng kể.

Hiểu biết sâu sắc hơn về cách mọi thứ và mọi người thường tương tác với nhau giúp việc phát hiện hoạt động bất thường nhanh chóng dễ dàng hơn khi botnet hoặc sự xâm nhập của phần mềm độc hại khác đã bắt đầu.

• Lý tưởng nhất là giám sát hoạt động mạng 24 giờ nên là chính sách, sử dụng các công cụ thu thập dữ liệu phát hiện hành vi bất thường và chặn các nỗ lực xâm nhập hệ thống.
• Xem xét việc định giá các dịch vụ an ninh mạng từ xa, để cung cấp phạm vi và chất lượng của thiết bị giám sát mạng và chuyên môn có thể nhiều hơn các cơ sở CNTT và / hoặc nhân viên CNTT có thể cung cấp suốt ngày đêm.

11. Kiểm soát truy cập mạng bằng máy chủ proxy

Tạo một điểm thoát hỗ trợ mà qua đó truy cập Internet có thể được giám sát sẽ tạo ra sự củng cố cho các nỗ lực giám sát. Định tuyến thông tin ra ngoài thông qua một máy chủ proxy có thể ngăn chặn các nỗ lực của tội phạm mạng nhằm phá vỡ an ninh mạng của bạn.

Lọc nội dung thông qua một máy chủ proxy là một tùy chọn thiết thực cho hầu hết các mạng, mặc dù, tất nhiên, có thể không thực tế để ngăn chặn mọi bit thông tin ra bên ngoài có vấn đề.

12. Áp dụng các nguyên tắc đặc quyền tối thiểu

Nói chung, quyền truy cập phải dựa trên nhu cầu của các chức năng của người dùng. Việc có một quản trị viên không phải là cùng một người với người dùng của một máy trạm cụ thể sẽ khiến cho phần mềm độc hại khó phát tán hơn bằng cách tải xuống.

Nó cũng làm cho việc sử dụng các chiến thuật AutoRun để khai thác một hệ thống trở nên khó khăn hơn. Điều này càng khiến cho thủ phạm phát tán phần mềm độc hại từ máy trạm xâm nhập sang máy khác xâm nhập nhiều hơn bằng cách sử dụng thông tin đăng nhập tài khoản mạng của người dùng.

13. Giám sát phản hồi các truy vấn hệ thống tên miền

Duy trì giám sát các truy vấn của máy trạm đến các máy chủ DNS là một cách tiếp cận tuyệt vời để xác định các triệu chứng xâm nhập của mạng botnet. Ví dụ: theo dõi thời gian sống thấp (TTL).

Các giá trị TTL thấp bất thường có thể là một chỉ số cho sự thâm nhập của botnet. Bằng cách theo dõi cẩn thận đối với TTL thấp, quản trị viên hệ thống của bạn có thể thực hiện hành động để chống lại cuộc tấn công và loại bỏ các Botnet trước khi sự lây lan lan rộng.

14. Được thông báo về các mối đe dọa mới nổi

Giữ cho bản thân và nhóm CNTT của bạn được thông báo về các mối đe dọa mạng địa phương, quốc gia và toàn cầu mới bắt đầu càn quét trên khắp các khu vực. Ví dụ, theo báo cáo, tỷ lệ tội phạm mạng sử dụng URL trong email để xâm nhập vào mạng nội bộ cao hơn nhiều so với việc sử dụng tệp đính kèm của thủ phạm.

Tổng quát hơn, một tỷ lệ đáng kinh ngạc của các vụ trộm thông tin thành công từ các mạng nội bộ trong năm qua là thông qua việc sử dụng các botnet.

Luôn cập nhật tin tức về các mối đe dọa mạng mới và đang phát triển là thứ tự đầu tiên mà các chuyên gia quản lý mạng hoạt động phải luôn duy trì, để có hiệu quả trong việc bảo vệ hệ thống của một tổ chức.

Hướng đến bảo mật chặt chẽ hơn

Để bảo vệ những người đã tin tưởng bạn bằng thông tin cá nhân nhạy cảm của họ, bảo vệ tổ chức của bạn khỏi trách nhiệm pháp lý và bảo vệ danh tiếng thương hiệu của bạn, bạn cần bảo vệ trên tất cả các mặt trận.

Sử dụng các chiến lược, phương pháp và công cụ khác ở trên và để đảm bảo rằng bạn duy trì khả năng phòng thủ hiệu quả trước các cuộc tấn công mạng được thực hiện thông qua email, điểm truy cập di động, nền tảng xã hội và bất kỳ phương tiện truyền thông nào khác.

Như đã đề cập, botnet hiện chiếm một tỷ lệ lớn của tội phạm mạng. Sử dụng các cách tiếp cận được thảo luận ở trên có thể giúp cải thiện khuôn khổ an ninh mạng được củng cố có thể mở rộng cho bất kỳ ngân sách và quy mô mạng nào.

Nguồn The Hacker News

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Botnet này có tên Statinko, được biết đến lần đầu vào năm 2012 và được sử dụng như một phần của các chiến dịch truyền bá quảng cáo độc hại quy mô lớn. Tuy nhiên theo phát hiện mới đây của các chuyên gia bảo mật đến từ đội ngũ ESET spol s.r.o, Statinko với quy mô hiện tại lên tới hơn 500.000 máy tính đã chuyển hướng từ phần mềm quảng cáo và các hoạt động bất chính khác sang hoạt động phân phối mô-đun khai thác tiền điện tử. Đặc biệt, Botnet này đã núp bóng YouTube để lén lút triển khai hoạt động độc hại trong một thời gian dài mà không bị phát hiện.

Mô-đun khai thác tiền điện tử đang được phân phối bởi Statinko nhiều khả năng là phiên bản sửa đổi nâng cao của xmr-stak – một loại tiền điện tử mã nguồn mở phổ biến vốn cũng sở hữu các chuỗi mã hóa và chức năng ẩn mình vô cùng hiệu quả.

Để tránh bị phát hiện, Statinko đã sử dụng YouTube để xác định proxy thay vì giao tiếp trực tiếp với nhóm khai thác – hoạt động khiến nó dễ bị phát hiện hơn. Phần mô tả của các video được botnet tải lên YouTube chứa đựng nhiều chuỗi văn bản cho thấy tập lệnh truy cập giúp triển khai hoạt động khai thác tiền ảo Monero bất hợp pháp. Chính điều này đã qua mặt được cả YouTube lẫn các nhóm bảo mật độc lập trong một thời gian dài.

Nhóm nghiên cứu bảo mật ESET đã liên hệ với YouTube để thông báo phát hiện của mình, và các video cũng như tài khoản liên quan đã bị gỡ xuống. Tuy nhiên vụ việc trên đã nêu bật một số phương thức độc đáo đang được tin tặc sử dụng để che dấu các hoạt động vi phạm của mình, chẳng hạn như lợi dụng các trang web và công cụ phổ biến để tránh bị phát hiện.

Nguồn quantrimang

Tống tiền bằng email đang gia tăng đáng kể, với một số lượng lớn người dùng gần đây phàn nàn về việc nhận nội dung email cố gắng tống tiền của các cá nhân bằng cách đe dọa họ là sẽ để lộ nội dung nhạy cảm của họ.

Mặc dù cho đến bây giờ, vẫn chưa rõ những kẻ lừa đảo đã gửi số lượng email khổng lồ như thế nào mà không bị các nhà cung cấp email đưa vào danh sách đen, các nhà nghiên cứu bảo mật từ Checkpoint cuối cùng đã tìm thấy câu trả lời trong câu đố này.

Trong báo cáo mới nhất được chia sẻ với The Hacker News trước khi phát hành, công ty bảo mật Checkpoint có trụ sở tại Tel Aviv tiết lộ rằng một botnet, được gọi là Phorpiex, gần đây đã được cập nhật để bao gồm một bot spam được thiết kế để sử dụng máy tính bị xâm nhập làm proxy để gửi hơn 30.000 email sextortion mỗi giờ mà hủ sở hữu máy tính bị nhiễm không thể phát hiện.

Phorpiex Spam Bot hoạt động như thế nào?

 Mô-đun spambot của Phorpiex tải xuống danh sách các địa chỉ email của mục tiêu / biên lai từ máy chủ và kiểm soát từ xa và sử dụng một triển khai đơn giản của giao thức SMTP để gửi email sextortion.

“Sau đó, một địa chỉ email được chọn ngẫu nhiên từ cơ sở dữ liệu đã tải xuống và một tin nhắn được tạo từ nhiều chuỗi mã hóa cứng. Bot spam có thể tạo ra một lượng lớn email spam – lên tới 30.000 mỗi giờ. Mỗi chiến dịch spam riêng lẻ có thể bao gồm 27 triệu nạn nhân tiềm năng, “các nhà nghiên cứu giải thích.

“Bot spam tạo ra tổng cộng 15.000 luồng để gửi tin nhắn rác từ một cơ sở dữ liệu. Mỗi luồng lấy một dòng ngẫu nhiên từ tệp đã tải xuống. Tệp cơ sở dữ liệu tiếp theo được tải xuống khi tất cả các luồng spam kết thúc. Tính thêm việc bị delay nữa thì bot đó có thể gửi khoảng 30.000 email trong một giờ. “

Để đe dọa những người nhận vô tội, những tên tội phạm đứng sau các chiến dịch sextortion này cũng thêm một trong những mật khẩu trực tuyến của nạn nhân vào dòng tiêu đề hoặc nội dung của email sextortion, khiến tin tặc biết mật khẩu của họ và có thể truy cập vào nội dung riêng tư của họ.

Trong thực tế, các kết hợp địa chỉ email và mật khẩu của người nhận đã được quản lý từ các cơ sở dữ liệu bị xâm phạm khác nhau trước đây. Vì vậy, mật khẩu hiển thị cho nạn nhân không nhất thiết phải thuộc về tài khoản email của họ; nó có thể cũ và liên quan đến bất kỳ dịch vụ trực tuyến nào.

“Cơ sở dữ liệu được tải xuống là một tệp văn bản, chứa tới 20.000 địa chỉ email. Trong các chiến dịch khác nhau, chúng tôi đã quan sát từ 325 đến 1363 cơ sở dữ liệu email trên máy chủ C & C. Do đó, một chiến dịch spam bao gồm tới 27 triệu nạn nhân tiềm năng. Mỗi dòng tập tin này chứa email và mật khẩu được phân định bởi dấu hai chấm, “các nhà nghiên cứu nói.

Chiến dịch sextortion tương tự được cung cấp bởi cùng một mạng botnet tương tự cũng được đặt tên là các cuộc tấn công phần mềm độc hại “Save Yourself” bởi các nhóm nghiên cứu khác.

Trong hơn năm tháng, tội phạm mạng đằng sau chiến dịch này đã kiếm được hơn 11 BTC, tương đương khoảng 88.000 đô la. Mặc dù con số này không lớn, nhưng các nhà nghiên cứu cho biết doanh thu thực tế của tin tặc có thể lớn hơn, vì họ không theo dõi các chiến dịch sextortion trong những năm trước.

Nguồn thehackernews.com