Ảnh: THE HACKER NEWS

Các nhà nghiên cứu GuardiCore cho biết Prowli hiện đã được phát động thành chiến dịch toàn cầu, tấn công hơn 40.000 thiết bị từ hơn 9.000 doanh nghiệp thuộc nhiều lĩnh vực khác nhau, bao gồm các tổ chức tài chính, giáo dục và chính phủ.

Theo đó, nó lây lan phần mềm độc hại để đoạt quyền truy cập các máy chủ và trang web trên khắp thế giới bằng cách sử dụng các kỹ thuật tấn công khác nhau như ăn cắp mật khẩu, lạm dụng cấu hình yếu…

Dưới đây là danh sách các thiết bị và dịch vụ bị nhiễm Prowli:

• Máy chủ Drupal và WordPress CMS lưu trữ các trang web phổ biến.

• Máy chủ Joomla chạy tiện ích mở rộng K2.

• Máy chủ sao lưu chạy phần mềm HP Data Protector.

• Máy chủ có cổng SSH mở.

• Máy chủ có cổng SMB tiếp xúc.

• Hộp NFS.

• Modem DSL.

• Trình cài đặt PhpMyAdmin.

• Thiết bị IoT bảo mật kém.

GuardiCore cho biết mục đích của hacker đằng sau Prowli có vẻ hướng đến mục tiêu khai thác tiền điện tử nên mã độc này đang tập trung hơn vào việc kiếm tiền thay vì gián điệp thiết bị.

"Chỉ trong 3 tuần, chúng tôi đã phát hiện hàng chục cuộc tấn công Prowli mỗi ngày đến từ hơn 180 IP từ nhiều quốc gia và tổ chức khác nhau."

Khi Prowli xâm nhập, mã khai thác tiền điện tử "r2r2" sẽ thực thi các cuộc tấn công SSH, tạo ngẫu nhiên các khối địa chỉ IP và cố gắng đăng nhập SSH bằng thông tin người dùng và mật khẩu.

Một khi đăng nhập được, nó sẽ chạy một loạt lệnh và các lệnh này chịu trách nhiệm tải xuống nhiều bản sao khác nhau của một trình khai thác tiền điện tử từ một máy chủ được mã hóa từ xa.

Bên cạnh việc đào tiền điện tử, hacker cũng sử dụng một webshell mã nguồn mở được gọi là WSO Web Shell để sửa đổi các máy chủ bị xâm nhập, chuyển hướng khách truy cập đến các trang web giả mạo.

Để bảo vệ thiết bị của mình khỏi Prowli, người dùng nên đảm bảo hệ thống của mình luôn được cập nhật và luôn sử dụng mật khẩu mạnh cho thiết bị.