Đây có thể là loại mã độc đầu tiên sử dụng các lệnh truy vấn hệ thống tên miền (Domain Name System – DNS) qua UDP để đánh cắp dữ liệu, thay vì sử dụng giao thức HTTP như các mã độc PoS khác. Ngoài ra, mã độc UDPoS còn giả danh là bản cập nhật của LogMeIn (phần mềm hợp lệ dùng để kiểm soát máy tính và các hệ thống từ xa) nhằm tránh bị phát hiện.
Bản mẫu của mã độc do các nhà nghiên cứu phân tích có kết nối tới máy chủ C&C tại Thuỵ Sĩ, chứ không phải tại những địa chỉ thường thấy khác (như Hoa Kỳ, Trung Quốc, Hàn Quốc, Triều Tiên, Thổ Nhĩ Kỳ hoặc Nga). Máy chủ lưu trữ một tệp tin dropper, khi giải nén sẽ chứa mã độc để phát tán. Cần lưu ý rằng, mã độc UDPoS chỉ có thể tấn công những hệ thống PoS cũ vẫn còn sử dụng LogMeIn.
Giống phần lớn các mã độc khác, UDPoS chủ động tìm kiếm các phần mềm diệt virus và máy ảo để vô hiệu hóa chúng. Các nhà nghiên cứu cho biết, họ không rõ điều này có phải là dấu hiệu của việc mã độc này đang ở giai đoạn phát triển/kiểm thử hay không.
Mặc dù không có dấu hiệu cho thấy UDPoS đang được khai thác trong thực tế để đánh cắp dữ liệu thẻ tín dụng hay thẻ ghi nợ, nhưng các thử nghiệm của Forcepoint cho thấy, mã độc này có thể hoàn toàn thực hiện những điều đó. Hơn nữa, trong quá trình điều tra, một trong các máy chủ C&C mà mẫu mã độc UDPoS kết nối vẫn hoạt động và gửi phản hồi cho thấy, tác giả của mã độc đã chuẩn bị cho việc phát tán mã độc.
Theo các nhà nghiên cứu của Forcepoint, việc chống lại mối đe dọa mới này không phải là dễ dàng, vì hầu hết các công ty đã có tường lửa, các giải pháp giám sát, lọc kết nối dựa trên các giao thức TCP và UDP, nhưng DNS vẫn chưa thực sự được quan tâm. Điều này sẽ tạo cơ hội cho kẻ xấu đánh cắp dữ liệu. Cần lưu ý, những kẻ xấu đằng sau mã độc này chưa xâm hại được dịch vụ LogMeIn mà chỉ giả danh nó. LogMeIn cũng đã đăng một bài viết để cảnh báo người dùng.
Năm 2017, một loại Trojan cho phép truy cập từ xa (Remote Access Trojan – RAT) có tên là DNSMessenger đã được phát hiện. Mã độc này sử dụng các truy vấn DNS để thực hiện các lệnh PowerShell độc hại trên những máy tính bị lây nhiễm.
Nguyễn Anh
Theo The Hacker News
15:00 | 28/08/2018
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024