TrendMicro vừa cảnh báo về mã độc Skidmap trong hệ điều hành Linux. Không chỉ khai thác tiền điện tử trái phép, phần mềm độc hại này còn cấp quyền cho tin tặc truy cập vào hệ thống bị nhiễm bằng “mật khẩu chính bí mật”.
Theo TrendMicro, Skidmap có thể che giấu việc khai thác tiền điện tử bằng cách làm giả lưu lượng truy cập mạng và những thống kê liên quan đến CPU. Chức năng này rất nguy hiểm vì công suất CPU cao là dấu hiệu quan trọng nhận biết hệ thống đang bị khai thác tiền ảo bất hợp pháp. Skidmap cho thấy mức độ phức tạp ngày càng cao của những loại mã độc chuyên khai thác tiền điện tử trong thời gian gần đây.
Quá trình lây nhiễm bắt nguồn từ quy trình crontab trên Linux – lịch trình chuẩn từng công việc cụ thể của hệ thống. Skidmap sẽ cài nhiều mã độc nhị phân lên thiết bị, làm giảm bớt những lớp cài đặt bảo mật của máy bị nhiễm, sau đó khai thác tiền ảo mà không bị cản trở.
“Bên cạnh quyền truy cập backdoor, Skidmap còn dùng một cách khác để chiếm quyền truy cập máy. Mã độc này sẽ thay thế tập tin pam_unix.so (module chịu trách nhiệm xác thực Unix tiêu chuẩn) bằng phiên bản độc hại riêng. Sau đó, tập tin pam_unix.so độc hại sẽ chấp nhận một mật khẩu cụ thể cho mọi tài khoản. Vì vậy, tin tặc có thể đăng nhập bất kỳ tài khoản nào trong máy”, TrendMicro cho biết.
Một số tập tin nhị phân bổ sung được chèn vào hệ thống để giám sát các công cụ khai thác tiền ảo khi chúng hoạt động.
Tuy nhiên TrendMicro không chỉ ra những “mỏ” tiền ảo Skidmap đang khai thác trái phép. Hãng cho biết Skidmap khó khắc phục hơn những loại phần mềm độc hại khác vì mã độc này sử dụng các rootkit Linux Kernal Module (LKM), có thể sửa đổi hoặc ghi đè lên phần nhân hệ điều hành. Ngoài ra, Skidmap còn được lập trình để tái cấu trúc trên những máy đã được làm sạch và khôi phục hệ thống.
“Những mối đe dọa khai thác tiền ảo không chỉ ảnh hưởng đến hiệu suất máy chủ hoặc máy trạm mà còn gián đoạn hoạt động của doanh nghiệp, làm tiêu tốn nhiều chi phí khắc phục, cản trở một số hoạt động quan trọng của hệ thống”, TrendMicro cho biết.
Để ngăn chặn Skidmap, TrendMicro khuyến cáo quản trị viên luôn cập nhật bản vá lỗi bảo mật cho hệ thống và máy chủ, đồng thời cẩn thận với các dịch vụ lưu trữ của bên thứ ba khi chưa xác minh. Ngoài ra, cần tuân thủ các nguyên tắc bảo mật của Linux để ngăn chặn mã độc nhị phân chiếm quyền truy cập vào những quy trình hệ thống quan trọng ngay từ đầu.
Theo The Next Web