Loại Trojan mới này mang tên Linux.Rex.1, được viết bằng ngôn ngữ lập trình Go và có thể tấn công những máy chủ web sử dụng các hệ thống quản lý nội dung khác nhau (CMS- content management systems), thực hiện các cuộc tấn công từ chối dịch vụ (DDoS), gửi tin nhắn rác (spam), thậm chí là tự nhân bản qua mạng.
Linux.Rex.1 được những người sử dụng diễn đàn Kernelmode phát hiện ra. Ban đầu, họ gọi nó là phần mềm mã độc tống tiền Drupal (Drupal ransomware), vì nó tấn công các trang web của Drupal. Hiện nay, các nhà nghiên cứu bảo mật Web nói rằng Trojan này đã được thiết kế để thực hiện nhiều việc hơn thế.
Nếu các botnet khác sử dụng máy chủ (C&C) để nhận các chỉ dẫn thì botnet P2P được tạo ra bởi Linux.Rex.1 này ngay lập tức truyền thông tin từ một máy đã bị nhiễm tới máy khác. Nó thực hiện một giao thức tạo sự chia sẻ dữ liệu giữa các máy tính bị nhiễm, vì vậy, mỗi lần đổi hướng, hệ thống botnet đã tạo thành một “nút”.
Các nhà nghiên cứu bảo mật cho biết, phần mềm độc hại sử dụng HTTPS để nhận lệnh và khi cần sẽ gửi chúng đến các “nút” botnet khác. Trong quá trình khai thác, Trojan có thể sử dụng botnet để khởi động hoặc dừng một tấn công DDoStrên địa chỉ IP. Hơn nữa, phần mềm này còn sử dụng một module đặc biệt để quét các trang web sử dụng các hệ thống CMS như Drupal, WordPress, Magento, JetSpeed ...
Theo các nhà nghiên cứu bảo mật: “Linux.Rex.1 còn tìm kiếm những lỗ hổng của cả phần cứng mạng chạy AirOS, lấy cắp danh sách người dùng, khóa SSH và thông tin đăng nhập máy chủ từ xa".
Ngoài ra, Trojan này còn gửi thư rác tới các nhà quản lý web, chủ yếu là nhằm đe dọa về các cuộc tấn công DDoS trên máy chủ của họ. Các hoạt động của botnet luôn cố gắng gửi lại những tin nhắn này tới các nhà quản lý web để đòi tiền chuộc.
Một tính năng nữa của phần mềm độc hại này là khả năng hack các trang web sử dụng Drupal. Trojan sử dụng lỗ hổng, cài một mã SQL và xâm nhập vào hệ thống. Ngay sau đó, nó tải một bản sao của mình vào các trang web, chạy chương trình đồng thời cho phép phần mềm độc hại này tự động nhân bản và phát tán.
Vài tuần trước, các nhà nghiên cứu bảo mật Web đã trình bày chi tiết về Linux.Lady.1, một Trojan khác được viết bằng ngôn ngữ lập trình Go, được thiết kế để lợi dụng các hệ thống đã bị nhiễm để khai thác cryptocurrency (là một hình thức của loại tiền tệ điện tử dựa trên mật mã để điều chỉnh một số chức năng của nó). Cách đây vài tháng, các công ty bảo mật cũng phát hiện ra Backdoor.Xunpes.1 là một Trojan đa năng đang nhắm mục tiêu vào các máy Linux.
(Theo securityweek.com)
