ClockThứ Sáu, 15/06/2018 14:44

Cẩn thận trước mã độc Prowli nhắm mục tiêu các máy chủ và thiết bị IoT

Sau khi phát hiện VPNFilter, các nhà nghiên cứu bảo mật tiếp tục phát hiện ra một mã độc khác, có tên là Prowli, đã xâm phạm hơn 40.000 máy chủ, modem và thiết bị IoT thuộc nhiều tổ chức trên toàn thế giới với mức độ nguy hiểm gấp nhiều lần.

Bkav dùng công nghệ AI chống mã độc đào tiền ảoPhát hiện mã độc trên nền tảng Android tấn công ứng dụng ngân hàngPhát hiện mã độc tấn công doanh nghiệp, tổ chức Việt NamPhát hiện hơn 1.000 app cho smartphone Android dính mã độc

Cẩn thận trước mã độc Prowli nhắm mục tiêu các máy chủ và thiết bị IoT

Các nhà nghiên cứu GuardiCore cho biết Prowli hiện đã được phát động thành chiến dịch toàn cầu, tấn công hơn 40.000 thiết bị từ hơn 9.000 doanh nghiệp thuộc nhiều lĩnh vực khác nhau, bao gồm các tổ chức tài chính, giáo dục và chính phủ.

Theo đó, nó lây lan phần mềm độc hại để đoạt quyền truy cập các máy chủ và trang web trên khắp thế giới bằng cách sử dụng các kỹ thuật tấn công khác nhau như ăn cắp mật khẩu, lạm dụng cấu hình yếu…

Dưới đây là danh sách các thiết bị và dịch vụ bị nhiễm Prowli:

Máy chủ Drupal và WordPress CMS lưu trữ các trang web phổ biến.

Máy chủ Joomla chạy tiện ích mở rộng K2.

Máy chủ sao lưu chạy phần mềm HP Data Protector.

Máy chủ có cổng SSH mở.

Máy chủ có cổng SMB tiếp xúc.

Hộp NFS.

Modem DSL.

Trình cài đặt PhpMyAdmin.

Thiết bị IoT bảo mật kém.

GuardiCore cho biết mục đích của hacker đằng sau Prowli có vẻ hướng đến mục tiêu khai thác tiền điện tử nên mã độc này đang tập trung hơn vào việc kiếm tiền thay vì gián điệp thiết bị.

"Chỉ trong 3 tuần, chúng tôi đã phát hiện hàng chục cuộc tấn công Prowli mỗi ngày đến từ hơn 180 IP từ nhiều quốc gia và tổ chức khác nhau."

Khi Prowli xâm nhập, mã khai thác tiền điện tử "r2r2" sẽ thực thi các cuộc tấn công SSH, tạo ngẫu nhiên các khối địa chỉ IP và cố gắng đăng nhập SSH bằng thông tin người dùng và mật khẩu.

Một khi đăng nhập được, nó sẽ chạy một loạt lệnh và các lệnh này chịu trách nhiệm tải xuống nhiều bản sao khác nhau của một trình khai thác tiền điện tử từ một máy chủ được mã hóa từ xa.

Bên cạnh việc đào tiền điện tử, hacker cũng sử dụng một webshell mã nguồn mở được gọi là WSO Web Shell để sửa đổi các máy chủ bị xâm nhập, chuyển hướng khách truy cập đến các trang web giả mạo.

Để bảo vệ thiết bị của mình khỏi Prowli, người dùng nên đảm bảo hệ thống của mình luôn được cập nhật và luôn sử dụng mật khẩu mạnh cho thiết bị.

Theo tuoitre.vn

ĐÁNH GIÁ
Hãy trở thành người đầu tiên đánh giá cho bài viết này!
  Ý kiến bình luận

BẠN CÓ THỂ QUAN TÂM

“Cẩn thận, linh hoạt, khoa học”

18 năm liên tục là “chiến sĩ thi đua”, nhiều lần nhận Bằng khen của Thủ tướng Chính phủ, Bộ Công an, Trung ương Đoàn và UBND tỉnh là những thành tích nổi bật của Trung tá Châu Ngọc Tịnh, Đội trưởng Đội Tổng hợp Công an huyện Phong Điền.

“Cẩn thận, linh hoạt, khoa học”

TIN MỚI

Liên kết hữu ích
Return to top