Đây có thể là loại mã độc đầu tiên sử dụng các lệnh truy vấn hệ thống tên miền (Domain Name System – DNS) qua UDP để đánh cắp dữ liệu, thay vì sử dụng giao thức HTTP như các mã độc PoS khác. Ngoài ra, mã độc UDPoS còn giả danh là bản cập nhật của LogMeIn (phần mềm hợp lệ dùng để kiểm soát máy tính và các hệ thống từ xa) nhằm tránh bị phát hiện.
Bản mẫu của mã độc do các nhà nghiên cứu phân tích có kết nối tới máy chủ C&C tại Thuỵ Sĩ, chứ không phải tại những địa chỉ thường thấy khác (như Hoa Kỳ, Trung Quốc, Hàn Quốc, Triều Tiên, Thổ Nhĩ Kỳ hoặc Nga). Máy chủ lưu trữ một tệp tin dropper, khi giải nén sẽ chứa mã độc để phát tán. Cần lưu ý rằng, mã độc UDPoS chỉ có thể tấn công những hệ thống PoS cũ vẫn còn sử dụng LogMeIn.
Giống phần lớn các mã độc khác, UDPoS chủ động tìm kiếm các phần mềm diệt virus và máy ảo để vô hiệu hóa chúng. Các nhà nghiên cứu cho biết, họ không rõ điều này có phải là dấu hiệu của việc mã độc này đang ở giai đoạn phát triển/kiểm thử hay không.
Mặc dù không có dấu hiệu cho thấy UDPoS đang được khai thác trong thực tế để đánh cắp dữ liệu thẻ tín dụng hay thẻ ghi nợ, nhưng các thử nghiệm của Forcepoint cho thấy, mã độc này có thể hoàn toàn thực hiện những điều đó. Hơn nữa, trong quá trình điều tra, một trong các máy chủ C&C mà mẫu mã độc UDPoS kết nối vẫn hoạt động và gửi phản hồi cho thấy, tác giả của mã độc đã chuẩn bị cho việc phát tán mã độc.
Theo các nhà nghiên cứu của Forcepoint, việc chống lại mối đe dọa mới này không phải là dễ dàng, vì hầu hết các công ty đã có tường lửa, các giải pháp giám sát, lọc kết nối dựa trên các giao thức TCP và UDP, nhưng DNS vẫn chưa thực sự được quan tâm. Điều này sẽ tạo cơ hội cho kẻ xấu đánh cắp dữ liệu. Cần lưu ý, những kẻ xấu đằng sau mã độc này chưa xâm hại được dịch vụ LogMeIn mà chỉ giả danh nó. LogMeIn cũng đã đăng một bài viết để cảnh báo người dùng.
Năm 2017, một loại Trojan cho phép truy cập từ xa (Remote Access Trojan – RAT) có tên là DNSMessenger đã được phát hiện. Mã độc này sử dụng các truy vấn DNS để thực hiện các lệnh PowerShell độc hại trên những máy tính bị lây nhiễm.
Nguyễn Anh
Theo The Hacker News
15:00 | 28/08/2018
09:00 | 03/05/2024
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024
