Trojan quảng cáo lây nhiễm hàng nghìn website thông qua plug-in CMS
Nhà nghiên cứu Jerome Segura của hãng an ninh mạng Malwarebytes (Mỹ) cho biết, vụ lừa đảo lần đầu tiên được báo cáo vào cuối năm 2017 bởi các chủ sở hữu website bị ảnh hưởng. Nạn nhân được chuyển đến trình duyệt bị khóa, sau đó chuyển hướng tới trang được thiết kế giống như một cửa hàng thời trang trực tuyến có tên là “Shoppers Stop” - website của thương hiệu nổi tiếng về chuỗi bán lẻ hàng may mặc tại Ấn Độ. Malwarebytes đã gọi chiến dịch này là “lừa đảo công nghệ Shoppers Stop”.
Trình duyệt bị khóa hiển thị thông tin giống tính năng cảnh báo của Google Safe Browsing. Nó ngăn người dùng đóng tab, hoặc cửa sổ trình duyệt bằng cách làm tràn lên màn hình các cửa sổ xác thực và đồng hồ đếm ngược trong thời gian 5 phút; cảnh báo về việc ổ cứng sắp bị xóa vì lý do an toàn, với mục đích hướng người dùng gọi tới số miễn phí hiển thị trên màn hình để được trợ giúp. Thông thường, những kẻ tấn công sẽ thêm các nút đóng trình duyệt, nhưng thực chất là mở toàn màn hình trình duyệt, hoặc tạo một popunder để liên tục làm mới tab chính.
Malwarebytes cho rằng, các website bị lây nhiễm do đã sử dụng các plug-in chứa trojan được ngụy trang thành các phiên bản miễn phí của hệ quản trị nội dung (Content Management System - CMS), hoặc sử dụng phần mềm thương mại theo cách miễn phí (Crack). Điều này không được khuyến cáo trong việc đảm bảo an toàn website, bởi những rủi ro mất an toàn và chi phí để sử dụng các plug-in phổ biến thường chỉ là một phần nhỏ so với chi phí khắc phục website sau khi bị tấn công.
Bên cạnh đó, nhà nghiên cứu Denis Sinegubko của công ty bảo mật website Sucuri (Mỹ) cũng đã phát hiện mã độc rogueads.unwanted_ads được viết bằng PHP, được sử dụng trong chiến dịch lừa đảo.
Để tăng khả năng thành công, kẻ tấn công cũng có thể chuyển hướng người dùng đến trình duyệt bị khóa thông qua “Hệ thống phân phối lưu lượng truy cập độc hại” (Black Traffic Distribution System - BlackTDS) như một phương pháp chuyển hướng thứ cấp. Đây là một công cụ xuất hiện từ cuối tháng 12/2017 với mục đích tạo ra một hệ thống phân phối lưu lượng truy cập dựa trên đám mây nhằm cung cấp cho người sử dụng các kỹ năng để chuyển hướng lưu lượng truy cập đến bộ công cụ, giúp người sử dụng truy cập vào các tên miền sạch, đồng thời ngăn chặn sự phát hiện của các nhà nghiên cứu và hộp cát (sand-box).
Tuy nhiên, các tính năng của BlackDTS đã bị kẻ tấn công lợi dụng để chuyển hướng lưu lượng truy cập của người dùng đến cùng một trang đích là Shoppers Stop. Tiếp đó, nó sẽ chuyển nạn nhân đến trình duyệt bị khóa thông qua kỹ thuật được gọi là chuyển hướng 301 hoặc chuyển hướng vĩnh viễn, được đăng ký một số tên miền cấp cao hiếm gặp như .accountant. Kẻ tấn công thường xuyên sử dụng luân phiên các tên miền để tránh bị liệt kê vào danh sách web đen.
Khi đã bị lây nhiễm, người dùng chỉ có thể sử dụng trình quản lý tác vụ để kết thúc các tiến trình đang chạy, hoặc khởi động lại máy tính để thoát khỏi các trang web giả mạo; không nên gọi điện đến số điện thoại hỗ trợ hiển thị trên màn hình, hoặc trả tiền dịch vụ để khắc phục sự cố.
Nhật Minh
Theo SC Media