Lưu đồ lớp kích hoạt thứ 2 của mã độc ShadowPad sau khi kết nối và nhận lệnh thành công với máy chủ điều khiển C&C.
Cụ thể hơn, mã độc ShadowPad được xác định đã có những yêu cầu truy xuất thông qua phần mềm quản lý máy chủ được cung cấp bởi hãng NetSarang.
Tuy nhiên, điều đáng nói ở đây là ShadowPad hiện được sử dụng hàng trăm doanh nghiệp lớn trên toàn thế giới, chủ yếu trong các lĩnh vực tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải.
Được biết, NetSarang là một phần mềm hợp pháp.
Đại diện Kaspersky cũng khẳng định, một khi đã tấn công thành công nạn nhân (tức máy chủ), thì mã độc ShadowPad sẽ định kỳ gửi truy vấn (tên người dùng, tên miền, tên máy chủ lưu trữ) đến các tên miền cụ thể (tức máy chủ điều khiển C&C) sau mỗi 8 tiếng đồng hồ. Nếu nhận định nạn nhân là "thú vị" thì máy chủ điều khiển của ShadowPad sẽ gửi thông tin trả lời, đồng thời kích hoạt backdoor đang đồn tú. Từ thời điểm này trở đi, theo "lệnh" của tin tặc, backdoor sẽ có thể tải về mã độc và thực thi mã độc.
Theo cập nhật mới nhất, mô-đun độc hại liên quan đến ShadowPad đã được kích hoạt ở Hồng Kông, và Kaspersky dự báo rất có thể backdoor này đã hiện diện tại nhiều nơi trên thế giới nhưng chưa chính thức "khai hỏa" đế tấn công người dùng.
Trang SecureList cho biết, tên miền máy chủ C&C liên quan đến ShadowPad được hacker đăng ký hồi đầu tháng 6/2017, và đến giữa tháng 7 thì chính thức thực hiện các hành vi tấn công.
Phía NetSarang đã nhận được thông tin cảnh báo từ Kaspersky, và hãng cũng đã phát hành bản cập nhật cần thiết cho khách hàng.
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống
Nguồn tin: www.nss.vn
Tham gia bình luận