Hãng bảo mật ESET đã gọi đây là "chiến dịch Windigo”, ảnh hưởng toàn cầu. Kẻ tấn công đã khai thác cổng hậu trong OpenSSH, một phiên bản nguồn mở của giao diện truy cập từ xa Secure Sockets Shell (SSH) được sử dụng để quản lý máy chủ. Nhóm chuyên gia của ESET cho biết, trong hai năm qua đã có hơn 500.000 máy tính và 25.000 máy chủ bị nhiễm loại mã độc này, trong số này, hơn 10.000 máy chủ vẫn còn đang bị nhiễm độc. Các nước bị ảnh hưởng nhiều nhất là Mỹ, Đức, Pháp, Ý, Anh, Hà Lan, Liên bang Nga, Ukraine, Mexico, Canada và Úc. Con số nhiễm mã độc trên tại Úc là hơn 400 máy chủ. Các chuyên gia cho rằng, việc trao đổi dữ liệu giữa người dùng với các máy chủ trên toàn thế giới khi duyệt các trang web và nhận email là nguyên nhân gây nhiễm mã độc Windigo cho các máy chủ. Các nhà nghiên cứu đã tiến hành một cuộc điều tra sâu vào cổng hậu Linux/Ebury, khám phá chiến dịch quy mô lớn mang tên Operation Windigo được cho là đã hoạt động liên tục ít nhất là từ năm 2011. Báo cáo cho thấy: " phát hiện ra một cơ sở hạ tầng sử dụng cho các hoạt động độc hại được lưu trữ trên máy chủ tất cả các bị xâm nhập; đã có thể tìm thấy một liên kết giữa các thành phần phần mềm độc hại khác nhau như Linux/Cdorked, Perl/Calfbot và Win32/Glupteba.M và nhận ra tất cả chúng đều được điều hành bởi cùng một nhóm”.Cơ sở hạ tầng bị xâm nhập đã được sử dụng để ăn cắp thông tin SSH, chiếm quyền điều khiển người sử dụng Internet vào các trang web độc hại và gửi thư rác.
Những kẻ tấn công ẩn sau Windigo đã không khai thác các lỗ hổng zero-day để chống lại các hệ thống Linux hoặc Unix, nhưng chúng đã khai thác các điểm yếu hệ thống để xây dựng và duy trì hệ thống botnet. Các tin tặc đã xâm nhập vào hàng loạt các hệ điều hành thông dụng như Apple OS X, FreeBSD, OpenBSD, Microsoft Windows (thông qua Cygwin) và Linux, bao gồm cả Linux trên kiến trúc ARM. Mô-đun độc hại được sử dụng trong hoạt động Windigo được thiết kế “cơ động”, dễ tích hợp, chúng đã xuất hiện trên cả hệ điều máy chủ Linux và FreeBSD. Các chuyên gia đánh giá mã độc Windigo là ở mức độ nghiêm trọng cao, những kẻ tấn công đã thể hiện kiến thức hiểu biết sâu sắc về các cả nền tảng Linux và cổng hậu HTTP.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024