พบมัลแวร์ตัวใหม่ XBash ที่มีคุณสมบัติทั้ง 4 ประเภท ได้แก่ ransomware, coinminers, botnets, และ worms สร้างความเสียหายให้กับ Linux และ Windows servers
มัลแวร์ตัวใหม่นี้ถูกพัฒนาด้วยกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ "Iron" และ "Rocke" คาดว่ากลุ่มนี้อยู่ที่ประเทศจีน นักวิจัยจาก Palo Alto Networks กล่าวว่ากลุ่มนี้ได้พัฒนามัลแวร์สายพันธุ์ใหม่ที่ชื่อว่า "XBash" ซึ่งเป็นการนำความสามารถของ botnet, coinminer และ ransomware มารวมเข้าด้วยกัน และพบว่ามีการนำความสามารถของ worm เพิ่มเข้ามาด้วย อย่างไรก็ตามความสามารถของ botnet และ ransomware จะใช้งานได้เฉพาะระบบ Linux เท่านั้น ขณะที่ coinminer ใช้งานได้เฉพาะบนระบบ Windows
วิธีการทำงานของ XBash คือการใช้ (1) โมดูล botnet สำหรับสแกนหาช่องโหว่ของเครื่อง Hadoop, Redis หรือ ActiveMQ ที่เป็นระบบ Linux และสแกนหาเครื่องเซิร์ฟเวอร์อื่นๆ ที่ยังมีการใช้พาสเวิร์ดที่ไม่ปลอดภัย เพื่อทำการวาง botnet และ ransomware แต่สำหรับระบบที่เป็น Windows จะใช้ช่องโหว่ของ Redis เพื่อทำการวาง coinminer เท่านั้น
(2) ส่วนของโมดูล ransomware จะทำการค้นหา Database service บนเครื่อง เมื่อพบจะทำการสแกนและลบฐานข้อมูลทิ้ง จากนั้นจะทำการวาง Ransom note ไว้ โดยเหยื่อจะต้องจ่ายเป็นจำนวน 0.02 Bitcoin ($125) เพื่อแลกกับการได้ข้อมูลคืนมา
(3) ส่วนของโมดูล worm จะทำหน้าที่แพร่กระจาย ไปยังเครือข่ายภายในที่อยู่ใน subnet เดียวกัน จากการวิเคราะห์นักวิจัยพบว่าโมดูลนี้จะถูกติดตั้งบน Windows เท่านั้น โดยมีการเรียกใช้เครื่องมือที่ชื่อว่า "LanScan"
นักวิจัยเชื่อว่าหลังจากนี้น่าจะมีการพัฒนาโมดูลของ coinminer สำหรับเซิร์ฟเวอร์ที่เป็น Linux ตามออกมาด้วยเช่นกัน เนื่องจากจะช่วยให้สามารถสร้างผลประโยชน์ได้มากขึ้นกว่าที่เป็นอยู่ในขณะนี้
ที่มา: zdnet
You must be logged in to post a comment.