Công ty an ninh mạng Trend Micro vừa công bố đã phát hiện một dòng phần mềm độc hại mới, có tên là BlackSquid, có thể tự chứng tỏ là đặc biệt nguy hiểm. Mục tiêu của nó là xâm nhập và “thâu tóm” các máy chủ web, ổ đĩa mạng và ổ đĩa lưu trữ rời để cài đặt XMRig, một đoạn mã đào tiền ảo Monero, trên các máy chủ nạn nhân. Nó khai thác nhiều lỗ hổng nguy hiểm nhất hiện nay và có thể tránh bị phát hiện.

Không giống nhiều dạng mã độc khác chỉ khai thác một hoặc hai lỗ hổng, BlackSquid khai thác rất nhiều lỗ hổng nguy hiểm nhất hiện nay. Các lỗ hổng bao gồm EternalBlue, DoublePulsar, CVE-2014-6287, CVE-2017-12615, CVE-2017-8464 và 3 phiên bản ThinkPHP khác. Nó sử dụng nhiều lỗ hổng như vậy, nên khả năng tấn công thành công của nó là rất cao.

Trước tiên, BlackSquid sử dụng giao diện lập trình ứng dụng GetTickCount API để lựa chọn ngẫu nhiên một địa chỉ IP của một máy chủ web, rồi kiểm tra xem địa chỉ đó có thật không. Nếu có thật, nó sẽ bắt đầu tấn công bằng nhiều công cụ đã tích hợp sẵn và phương thức dò thử mật khẩu. Một trong ba đầu vào của BlackSquid là các ứng dụng web, các lỗ hổng hay các ổ đĩa mạng rời.

Trước khi hành động, BlackSquid sẽ tiến hành nhiều kiểm tra xem có dấu hiệu của môi trường phân tích hay không, như máy ảo, “hộp cát” cách ly hay công cụ dò lỗi. Nếu có, nó sẽ ngừng các hoạt động nên rất khó bị phát hiện. Nó sẽ chuyển từ hệ thống này sang hệ thống khác thông qua cửa hậu EternalBlue và DoublePulsar.

Một khi đã xâm nhập vào máy chủ web, BlackSquid sẽ sử dụng lỗ hổng thực thi mã từ xa để có quyền như người dùng hệ thống tại chỗ và từ đó tự lây lan trong khi tiến hành các hoạt động cuối cùng. Hoạt động cuối cùng của BlackSquid là hai thành phần đào tiền ảo XMRig. Trong đó, một thành phần là tài nguyên của nó, còn thành phần còn lại được tải về máy chủ web bị tấn công. Thành phần tài nguyên đóng vai trò chính của BlackSquid. Nếu nó phát hiện máy chủ có card đồ họa Nvidia hay AMD, một thành phần khác sẽ được tải về để tận dụng bộ xử lý đồ họa GPU để đào thêm tiền ảo Monero.

Trend Micro cho biết đa số các cuộc tấn công BlackSquid cho đến nay đã được phát hiện ở Thái Lan và Mỹ. Cuối tháng 5 vừa qua là thời gian hoạt động mạnh nhất.

Cũng theo Trend Micro, BlackSquid cũng lộ rõ nhiều dấu hiệu cho thấy nó vẫn còn trong quá trình phát triển và thử nghiệm. Tuy nhiên, nó có thể được tùy biến cho các mục tiêu khác, ngoài đào tiền ảo và sẽ còn có thể nguy hơn rất nhiều.

Thực tế, các bản vá lỗ hổng đã có từ tháng 3 - 2017, nhưng theo điều tra mới nhất của Check Point, hiện vẫn có hơn 601.000 hệ thống doanh nghiệp dễ bị tấn công qua lỗ hổng EternalBlue. Để chống chọi với nguy cơ phần mềm độc hại BlackSquid hiện tại, giải pháp đơn giản nhất là thực hiện đúng quy trình vá lỗi đã có.

LÊ PHI (Theo ZDNet, Bleepingcomputer)