Chiến dịch lợi dụng dịch vụ quảng cáo nhằm phát tán mã độc Ransomware thông qua các website tin cậy

Các Website tin cậy hàng đầu như The New York Times, BBC, MSN, AOL… đang đứng trước nguy cơ sụt giảm mạnh danh tiếng và uy tín trước chiến dịch lợi dụng dịch vụ quảng cáo (M để phát tán mã độc tống tiền Ransomware trên website của mình. Nếu người dùng nhấn vào, quảng cáo này sẽ chuyển hướng đến trang chứa mã độc (M) thông qua bộ công cụ khai thác Angler Exploit Kit (AEK) để lây nhiễm bằng cách cài mã độc tống tiền vào máy tính.

Bộ công cụ khai thác này chứa rất nhiều công cụ hacking và khai thác lỗ hổng bảo mật mới (zero-day) cho phép tin tặc thực thi tấn công trực tiếp vào máy tính của khách truy cập website. Trong trường hợp này, tin tặc sẽ rò quét những máy tính chứa lỗ hổng đồng thời tải về Bedep Trojan và TeslaCrypt Ransomware, hoặc có thể cài đặt những chương trình độc hại khác.

Theo điều tra ban đầu, công ty bảo mật SpiderLabs đã phát hiện ra rằng tin tặc đứng đằng sau chiến dịch lợi dụng dịch vụ quảng cáo này nhằm vào những domain đã hết hạn của Brentsmedia (một giải pháp marketing trực tuyến đã dừng cung cấp dịch vụ vào đầu năm 2016).

Theo bản ghi đăng kí web, domain của Brentsmedia đã được mua bởi Pavel G Ashtahov vào ngày 6/3, một ngày trước khi chiến dịch này bắt đầu được tiến hành.

hacking-news

Phân tích chi tiết cho thấy khi một người dùng nhấn vào quảng cáo, nó sẽ kích hoạt một tệp tin JSON (Javascript Object Notation) nhằm kiểm tra các phần mềm bảo mật đã được cài trên máy nạn nhân hay chưa. Nếu có, công cụ khai thác này được tin tặc lập trình sẽ không cài đặt mã độc có khả năng bị chặn bởi các phần mềm bảo mật đó để tránh chiến dịch bị phát hiện bởi các công ty phát triển phần mềm bảo mật. Nếu không, tin tặc sẽ âm thầm khai thác và cuối cùng chuyển hướng người dùng đến trang chứa mã độc để thực hiện tiếp các hành vi của mình.

Theo tính toán, chiến dịch này được triển khai thông qua hai mạng lưới liên kết cụ thể là Adnxs (đã khắc phục) và Taggify (chưa quan tâm đến sự nghiêm trọng của vấn đề). Và hai domain đã hết hạn giống với brentsmedia[.]com như là “envangmedia[.]com” và “markets.shangjiamedia[.]com” cũng đã được đăng kí sử dụng bởi tin tặc. Các tên miền liên quan đến “media” có khả năng cao nằm trong chiến dịch lợi dụng dịch vụ quảng cáo để phát tán mã độc đang trở thành một xu hướng đe doạ mới.

THN

 

 

Bài viết cùng chủ đề << Phát hiện biến thể đầu tiên của mã độc tống tiền (Ransomware) tấn công nhằm vào người dùng sử dụng Mac OS X của AppleRansomware liên tục “thất bại” trên Linux >>

Bình luận

Từ khóa: