Nhà nghiên cứu Jerome Segura của hãng an ninh mạng Malwarebytes (Mỹ) cho biết, vụ lừa đảo lần đầu tiên được báo cáo vào cuối năm 2017 bởi các chủ sở hữu website bị ảnh hưởng. Nạn nhân được chuyển đến trình duyệt bị khóa, sau đó chuyển hướng tới trang được thiết kế giống như một cửa hàng thời trang trực tuyến có tên là “Shoppers Stop” - website của thương hiệu nổi tiếng về chuỗi bán lẻ hàng may mặc tại Ấn Độ. Malwarebytes đã gọi chiến dịch này là “lừa đảo công nghệ Shoppers Stop”.
Trình duyệt bị khóa hiển thị thông tin giống tính năng cảnh báo của Google Safe Browsing. Nó ngăn người dùng đóng tab, hoặc cửa sổ trình duyệt bằng cách làm tràn lên màn hình các cửa sổ xác thực và đồng hồ đếm ngược trong thời gian 5 phút; cảnh báo về việc ổ cứng sắp bị xóa vì lý do an toàn, với mục đích hướng người dùng gọi tới số miễn phí hiển thị trên màn hình để được trợ giúp. Thông thường, những kẻ tấn công sẽ thêm các nút đóng trình duyệt, nhưng thực chất là mở toàn màn hình trình duyệt, hoặc tạo một popunder để liên tục làm mới tab chính.
Malwarebytes cho rằng, các website bị lây nhiễm do đã sử dụng các plug-in chứa trojan được ngụy trang thành các phiên bản miễn phí của hệ quản trị nội dung (Content Management System - CMS), hoặc sử dụng phần mềm thương mại theo cách miễn phí (Crack). Điều này không được khuyến cáo trong việc đảm bảo an toàn website, bởi những rủi ro mất an toàn và chi phí để sử dụng các plug-in phổ biến thường chỉ là một phần nhỏ so với chi phí khắc phục website sau khi bị tấn công.
Bên cạnh đó, nhà nghiên cứu Denis Sinegubko của công ty bảo mật website Sucuri (Mỹ) cũng đã phát hiện mã độc rogueads.unwanted_ads được viết bằng PHP, được sử dụng trong chiến dịch lừa đảo.
Để tăng khả năng thành công, kẻ tấn công cũng có thể chuyển hướng người dùng đến trình duyệt bị khóa thông qua “Hệ thống phân phối lưu lượng truy cập độc hại” (Black Traffic Distribution System - BlackTDS) như một phương pháp chuyển hướng thứ cấp. Đây là một công cụ xuất hiện từ cuối tháng 12/2017 với mục đích tạo ra một hệ thống phân phối lưu lượng truy cập dựa trên đám mây nhằm cung cấp cho người sử dụng các kỹ năng để chuyển hướng lưu lượng truy cập đến bộ công cụ, giúp người sử dụng truy cập vào các tên miền sạch, đồng thời ngăn chặn sự phát hiện của các nhà nghiên cứu và hộp cát (sand-box).
Tuy nhiên, các tính năng của BlackDTS đã bị kẻ tấn công lợi dụng để chuyển hướng lưu lượng truy cập của người dùng đến cùng một trang đích là Shoppers Stop. Tiếp đó, nó sẽ chuyển nạn nhân đến trình duyệt bị khóa thông qua kỹ thuật được gọi là chuyển hướng 301 hoặc chuyển hướng vĩnh viễn, được đăng ký một số tên miền cấp cao hiếm gặp như .accountant. Kẻ tấn công thường xuyên sử dụng luân phiên các tên miền để tránh bị liệt kê vào danh sách web đen.
Khi đã bị lây nhiễm, người dùng chỉ có thể sử dụng trình quản lý tác vụ để kết thúc các tiến trình đang chạy, hoặc khởi động lại máy tính để thoát khỏi các trang web giả mạo; không nên gọi điện đến số điện thoại hỗ trợ hiển thị trên màn hình, hoặc trả tiền dịch vụ để khắc phục sự cố.
Nhật Minh
Theo SC Media
08:00 | 12/10/2017
16:00 | 24/09/2018
10:00 | 20/09/2017
09:54 | 07/08/2017
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
13:00 | 21/11/2023
Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024