Bonet Flokibot chuyển sang phát tán mã độc PoS mới

(Không gian mạng) - Theo phát hiện của hãng bảo mật Arbor Networks (Mỹ), mạng máy tính ma phát tán FlokiBot (mã độc chuyên nhắm mục tiêu hệ thống PoS) vừa quay trở lại sau một thời gian ngừng hoạt động, lần này phát tán một mã độc mới có tên LockPoS.

Các nhà nghiên cứu cho biết, LockPoS nhắm mục tiêu vào các công ty có trụ sở tại Brazil, mã độc này vẫn đang vượt ngoài sự phát hiện của hệ thống chống virus và phát hiện xâm nhập vì nó còn khá mới.

zeus_mail-680x400

Bonet Flokibot chuyển sang phát tán mã độc PoS mới

Dennis Schwarz, một nhà nghiên cứu của Arbor Networks, cho biết: “Một trong những máy chủ C2 ngừng hoạt động trong một thời gian đã đột ngột “thức dậy” và bắt đầu phân phối mã độc PoS mới mà chúng tôi gọi là LockPoS” .

Mối liên kết giữa LockPoS và FlokiBot chỉ dừng lại ở đó. Sự tương đồng duy nhất giữa 2 mã độc này là cùng chung một cơ chế phân phối botnet. FlokiBot vừa là tên của mã độc PoS và vừa là tên của botnet phân phối.

Lần cuối cùng FlokiBot được báo cáo là vào tháng 12/2016, khi các chuyên gia hãng Cisco Talos và Flashpoint cảnh cáo sự gia tăng sự đột ngột của mã độc này trên các diễn ngầm Dark Web và việc sử dụng nó ngày càng tăng để nhắm vào các ngân hàng Mỹ, Canada, Brazil và các công ty bảo hiểm.

Arbor không rõ quy mô của chiến dịch LockPoS và có bao nhiêu hệ thống đã bị ảnh hưởng bởi mã độc này. Các mẫu phân tích cho thấy tác giả của LockPoS đã biên soạn nó vào ngày 24/06.

Tương tự như các mẫu mã độc PoS, LockPoS cũng sử dụng các dropper cho giai đoạn đầu và giai đoạn thứ hai trên các máy tính mục tiêu, sau cùng nó sẽ tải vào payload LockPoS.

Đáng chú ý, LockPoS cũng có cùng một máy chủ C2 (treasurehunter[.]at) từng phát tán một mã độc PoS khác có tên Treasurehunt do FireEye (Mỹ) báo cáo vào năm 2016.

“Dựa trên nghiên cứu của hãng FireEye về hoạt động truyền thông C2, bảng điều khiển, và các hệ thống IoC khác của của Treasurehunt, có vẻ như LockPoS và Treasurehunt là hai mã độc riêng biệt”, ông viết.

Schwarz lưu ý rằng LockPoS không phải là mã độc quá tiên tiến, nhưng cho đến nay đã tin tặc không ngừng phát triển các dòng mã độc PoS khác nhau để tấn công khách sạn, nhà hàng và các nhà bán lẻ. Do đó, ông nói: “Việc LockPoS thiếu tính mới mẻ có lẽ là một điểm đáng tranh luận”.

Gia Cát Linh (dịch từ Threat Post)

Nhóm chuyên gia độc lập liên ngành cũng bị Pegasus nhắm mục tiêu Nhóm chuyên gia độc lập liên ngành cũng bị Pegasus nhắm mục tiêu
Ngày 10/07, hãng bảo mật Citizen Lab (Canada) công bố báo cáo phát hiện Nhóm các chuyên gia độc lập liên ngành (GIEI) cũng là một nạn nhân của vụ phát tán mã độc gián điệp Pegasus (báo cáo...
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm: Tin nóng trong ngày, An ninh quốc phòng
Kết bạn với Thủ tướng trên Facebook
Thích và chia sẻ bài này trên:
Tweet
Tags: an ninh mạng, an ninh thông tin, hợp tác an ninh mạng, Không gian mạng, tấn công mạng
Share on Facebook! Tweet This!
Nguồn: nguyenxuanphuc.org