WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Botnet Mirai mới hướng mục tiêu tới đào tiền ảo
Biến thể mới của mạng botnet Satori hướng mục tiêu tới các máy tính được dùng để đào tiền ảo nhằm đánh cắp tiền Ethereum qua việc khai thác lỗ hổng trong phần mềm Claymore Miner.
Theo các nhà nghiên cứu từ Trung Quốc, phiên bản mới này được gọi là Satori.Coin.Robber, xuất hiện vào ngày 8 tháng 1 năm 2018 và được thiết kế để thay thế địa chỉ ví tiền ảo mới được đào bằng một địa chỉ do hacker kiểm soát.
Để thực hiện chuyển đổi, phần mềm độc hại Satori truy cập vào máy tính đào tiền ảo thông qua cổng 3333 chạy phần mềm Claymore Miner và khi chuyển đổi ví tiền, tất cả các đồng tiền phát sinh từ máy tính bị nhiễm sẽ được chuyển vào ví của kẻ tấn công.
Bản ghi chép kết nối với mạng botnet cho thấy biến thể Satori vẫn đang tiếp tục đào tiền tại thời điểm bài báo này được viết.
Theo các nhà nghiên cứu, botnet sở hữu công suất tính toán trung bình 1606 MH/s và có khả năng tích lũy được 0.1733 etherium (123£) trong 24 giờ.
Satori.Coin.Robber hoạt động "chủ yếu trên thiết bị Claymore Mining cho phép thực hiện các hành động quản lý trên cổng 3333 không cần kích hoạt mật khẩu xác thực (đó là cấu hình mặc định)", các nhà nghiên cứu cho biết.
Phân tích mã botnet cho thấy những điểm tương đồng với Satori gốc, cả hai khá giống nhau ở cấu trúc mã, cấu hình mã hóa, các chuỗi cấu hình và có cùng payload.
Tuy nhiên, phiên bản mới cũng đi kèm với một payload nhắm mục tiêu tới Claymore Miner. Các nhà nghiên cứu lưu ý rằng tác giả đứng sau Satori.Coin.Robber đã tuyên bố mã không phải là độc hại, và thậm chí đã để lại một địa chỉ email.
Tin tức về phiên bản mới của Satori chỉ xuất hiện một tháng sau khi mã khai thác router Huawei, được botnet Satori sử dụng, được đăng tải trực tuyến.
Vào tháng 12 năm 2017, các nhà nghiên cứu bảo mật đã cảnh báo rằng Satori đã được sử dụng khoảng 100.000 router chỉ trong 12 tiếng đồng hồ, dấy lên lo ngại mạng botnet này có thể thực hiện tấn công làm tê liệt Internet cứ lúc nào.
Tuy nhiên, trong báo cáo về Satori.Coin.Robber, các nhà nghiên cứu của Qihoo Netlab 360 cho biết Satori đã được cộng đồng an ninh kiểm soát nhanh chóng.
Theo các nhà nghiên cứu từ Trung Quốc, phiên bản mới này được gọi là Satori.Coin.Robber, xuất hiện vào ngày 8 tháng 1 năm 2018 và được thiết kế để thay thế địa chỉ ví tiền ảo mới được đào bằng một địa chỉ do hacker kiểm soát.
Để thực hiện chuyển đổi, phần mềm độc hại Satori truy cập vào máy tính đào tiền ảo thông qua cổng 3333 chạy phần mềm Claymore Miner và khi chuyển đổi ví tiền, tất cả các đồng tiền phát sinh từ máy tính bị nhiễm sẽ được chuyển vào ví của kẻ tấn công.
Bản ghi chép kết nối với mạng botnet cho thấy biến thể Satori vẫn đang tiếp tục đào tiền tại thời điểm bài báo này được viết.
Satori.Coin.Robber hoạt động "chủ yếu trên thiết bị Claymore Mining cho phép thực hiện các hành động quản lý trên cổng 3333 không cần kích hoạt mật khẩu xác thực (đó là cấu hình mặc định)", các nhà nghiên cứu cho biết.
Phân tích mã botnet cho thấy những điểm tương đồng với Satori gốc, cả hai khá giống nhau ở cấu trúc mã, cấu hình mã hóa, các chuỗi cấu hình và có cùng payload.
Tuy nhiên, phiên bản mới cũng đi kèm với một payload nhắm mục tiêu tới Claymore Miner. Các nhà nghiên cứu lưu ý rằng tác giả đứng sau Satori.Coin.Robber đã tuyên bố mã không phải là độc hại, và thậm chí đã để lại một địa chỉ email.
Tin tức về phiên bản mới của Satori chỉ xuất hiện một tháng sau khi mã khai thác router Huawei, được botnet Satori sử dụng, được đăng tải trực tuyến.
Vào tháng 12 năm 2017, các nhà nghiên cứu bảo mật đã cảnh báo rằng Satori đã được sử dụng khoảng 100.000 router chỉ trong 12 tiếng đồng hồ, dấy lên lo ngại mạng botnet này có thể thực hiện tấn công làm tê liệt Internet cứ lúc nào.
Tuy nhiên, trong báo cáo về Satori.Coin.Robber, các nhà nghiên cứu của Qihoo Netlab 360 cho biết Satori đã được cộng đồng an ninh kiểm soát nhanh chóng.
Theo: Computer Weekly