Các nhân tố độc hại hiện đang sử dụng một Trojan có tên Chikdos lây nhiễm trên MySQL Server và lợi dụng chúng để thực hiện tấn công từ chối dịch vụ phân tán (DDoS).
Chikdos malware được phát hiện lần đầu vào năm 2013 bởi Trung tâm ứng cứu sự cố Phần Lan. Mối đe dọa được thiết kế nhằm hijack thiết bị Linux và Windows rồi sử dụng để thực hiện tấn công DDoS.
Theo Symantec, phiên bản mới nhất của Chikdos không có nhiều khác biệt với biến thể ban đầu tại Phần Lan. Trong các cuộc tấn công được theo dõi gần đây quan sát bởi Symantec, tin tặc đã tấn công máy chủ MySQL, bởi lí do chúng rất phổ biến và có băng thông lớn, rất hữu dụng với các cuộc tấn công DDoS.
Cuộc tấn công vào MySQL Server bắt đầu bằng một hàm độc hại mà người dùng định nghĩa (UDF), đóng vai trò như một Downloader (Downloader.Chikdos). UDF được lưu trữ trên file hệ thống và chúng được thiết kế để mở rộng tính năng của một MySQL Server. Những chức năng này thường xuyên được cài đặt bởi các nhân tố độc hại thông qua tấn công SQL Injection. Trong trường hợp này, các chuyên gia cho biết chưa rõ tin tặc sử dụng máy quét tự động hay một worm để xâm hại các máy chủ và cài đặt UDF.
Khi đã được thực thi, UDF tải về malware từ website độc hại và lây nhiễm lên máy chủ. Trong một vài trường hợp nó còn tạo ra một tài khoản người dùng mới trên hệ thống. Một phần tư số máy chủ bị xâm hại được đặt tại Ấn Độ, tiếp sau đó là Trung Quốc, Brazil, Hà Lan, Hoa Kỳ, Hàn Quốc, Mexico, Canada và Italy.
THN