Xuất hiện Trojan nguy hiểm tấn công hệ thống CMS

Trojan Linux.Encoder.1 đang là mối đe dọa rất nghiêm trọng đối với các chủ sở hữu nguồn tài nguyên Internet, đặc biệt là ứng dụng quản trị nội dung CMS phổ biến có lỗ hổng chưa được vá, CMS phiên bản cũ.

Theo đại diện Dr.Web tại Việt Nam, tội phạm mạng đang đẩy mạnh phát tán trojan có tên gọi Linux.Encoder.1 nhắm vào những trang web được triển khai trên các máy chủ nền tảng Linux sử dụng hệ thống quản lý nội dung (CMS) như WordPress, hệ thống quản lý cửa hàng trực tuyến Magento…

Một khi tội phạm mạng có thể được truy cập vào website, các tập tin error.php bị thay đổi bằng mã độc (đối với Magento, nó được sao chép vào /skin/ system directory). Mã độc này sẽ được thực thi cho phép tội phạm mạng thực hiện các hoạt động bất hợp pháp bằng cách gửi nhiều lệnh khác nhau theo mục đích khai thác.

Hiện trojan Linux.Encoder.1 đã tấn công khoảng 2000 website

Tiếp theo, tin tặc có thể sao chép thay thế tập tin 404.php mà trên thực tế là Linux.Encoder.1 trên máy chủ. Từ thời điểm này, tội phạm mạng có thể kết nối với tập tin PHP từ trình duyệt bất kỳ để xác định cấu trúc hệ điều hành (32-bit hoặc 64-bit) để có thể chạy ransomware mã hóa tương ứng, khi đã hoàn tất việc mã hóa, ransomware này sẽ tự hủy, điều này gây khó khăn cho các chuyên gia bảo mật khi tìm kiếm mẫu mã hóa này.

Khi Linux.Encoder.1 được chạy với đặc quyền www-data priviledges (nghĩa là được quyền vận hành như chính nền tảng web Apache), trojan hoàn toàn đủ khả năng mã hóa tất cả các tập tin trong bất kỳ thư mục nào mà quản trị viên có quyền truy cập.

Nói cách khác, nó có toàn quyền truy xuất đường dẫn và các thành phần quản lý nội dung (CMS). Trong một số trường hợp, trojan chiếm quyền cao hơn và hoạt động nguy hiểm của nó sẽ không bị hạn chế trên bất kỳ thư mục nào trên Web server. Sau đó, các chương trình độc hại sẽ lưu tệp README_FOR_DECRYPT.txt chỉ dẫn cách giải mã và yêu cầu tống tiền của tội phạm mạng trên máy chủ.

Theo Dr Web, truy vấn các tìm kiếm từ Google trong ngày 12/11/2015 cho thấy có khoảng 2.000 trang web đã bị xâm nhập bởi Linux.Encoder.1 và 1,6 triệu kết quả liên quan đến virus này.

Hành vi tấn công cho thấy tội phạm mạng không thực sự cần quyền root của Web server nền tảng Linux để mã hóa các tập tin. Trojan này là một mối đe dọa rất nghiêm trọng cho các chủ sở hữu nguồn tài nguyên Internet, đặc biệt là các ứng dụng quản trị nội dung CMS phổ biến có các lỗ hổng chưa được vá mà webmaster hoặc là bỏ qua sự cần thiết phải cập nhật kịp thời hoặc chỉ sử dụng phiên bản cũ của CMS.

Bản thân mã của Linux.Encoder.1 cũng có một số hạn chế, dữ liệu được mã hóa bởi các Trojan này có thể được giải mã.

Đại diện Dr.Web tại Việt Nam khuyến cáo, nếu web server đã bị xâm nhập bởi Linux.Encoder.1 cần làm theo các hướng dẫn dưới đây: thông báo cho nhà chức trách xử lý; không cố gắng thay đổi các nội dung của đường dẫn (directory) các tập tin bị mã hóa; không xóa bất kỳ tập tin nào trên máy chủ; không cố gắng khôi phục lại các dữ liệu đã bị mã hóa; liên hệ với bộ phận hỗ trợ kỹ thuật; đính kèm một tập tin bị mã hóa bởi các Trojan vào yêu cầu hỗ trợ.

Theo ICTview