Khoảng 2.000 trang web đã bị xâm nhập bởi Linux.Encoder.1

15/11/2015 07:59

Tội phạm mạng đang đẩy mạnh phân phối Linux.Encoder.1 nhắm đến các trang web được triển khai trên các máy chủ nền tảng Linux sử dụng hệ thống quản lý nội dung (CMS) như: WordPress, hệ thống quản lý cửa hàng trực tuyến Magento.

Với các cuộc tấn công liên tục, kẻ tạo ra chủng virus này đang khai thác một lỗ hổng hiện chưa được xác định cụ thể. Một khi tội phạm mạng có thể được truy cập vào website, các tập tin error.php bị thay đổi bằng mã độc (đối với Magento, nó được sao chép vào /skin/ system directory). Mã độc này sẽ được thực thi cho phép tội phạm mạng thực hiện các hoạt động bất hợp pháp bằng cách gửi nhiều lệnh khác nhau theo mục đích khai thác. Tiếp theo tin tặc có thể sao chép thay thế tập tin 404.php mà trên thực tế là Linux.Encoder.1 trên máy chủ. Từ thời điểm này, tội phạm mạng có thể kết nối với tập tin PHP từ trình duyệt bất kỳ để xác định cấu trúc hệ điều hành (32-bit hoặc 64-bit) để có thể chạy ransomware mã hóa tương ứng, khi đã hoàn tất việc mã hóa, ransomware này sẽ tự hủy, điều này sẽ gây khó khăn cho các chuyên gia bảo mật khi tìm kiếm mẫu mã hóa này.

Khi Linux.Encoder.1 được chạy với đặc quyền www-data priviledges (có nghĩa là nó được quyền vận hành như chính nền tảng web Apache) trojan hoàn toàn đủ khả năng mã hóa tất cả các tập tin trong bất kỳ thư mục nào mà quản trị viên có quyền truy cập. Nói cách khác, nó có toàn quyền truy xuất đường dẫn (directory) và các thành phần quản lý nội dung (CMS). Trong một số trường hợp, Trojan tiếm quyền cao hơn và hoạt động nguy hiểm của nó sẽ không bị hạn chế đến bất kỳ thư mục nào trên Web server. Sau đó, các chương trình độc hại sẽ lưu tệp README_FOR_DECRYPT.txt chỉ dẫn cách giải mã và yêu cầu tống tiền của tội phạm mạng trên máy chủ. Truy vấn các tìm kiếm từ Google từ ngày 12/11 thì có khoảng 2.000 trang web đã bị xâm nhập bởi Linux.Encoder.1 và 1,6 triệu kết quả liên quan đến virus này.

Kết quả tìm kiếm Linux.Encoder.1 – Dr.Web report

Hành vi tấn công cho thấy tội phạm mạng không thực sự cần quyền root của Web server nền tảng Linux để mã hóa các tập tin. Trojan này là một mối đe dọa cực kỳ nghiêm trọng cho các chủ sở hữu nguồn tài nguyên Internet, đặc biệt là các ứng dụng quản trị nội dung CMS phổ biến có các lỗ hổng chưa được vá mà webmaster hoặc là bỏ qua sự cần thiết phải cập nhật kịp thời hoặc chỉ sử dụng phiên bản cũ của CMS.

MAI KHÔI

Ý kiến bạn đọc (0)
Tên   Email

Các bài mới:
Lên đầu trang