Trojan quảng cáo lây nhiễm hàng nghìn website thông qua plug-in CMS

09:00 | 31/05/2018 | HACKER / MALWARE

Mới đây, một chiến dịch lừa đảo với mục tiêu khiến các website hiển thị các quảng cáo độc hại và chuyển hướng người dùng đến thông báo “máy tính bị nhiễm Trojan”, hoặc “mã độc đã gây ảnh hưởng tới hàng nghìn website”.

Trojan quảng cáo lây nhiễm hàng nghìn website thông qua plug-in CMS

Nhà nghiên cứu Jerome Segura của hãng an ninh mạng Malwarebytes (Mỹ) cho biết, vụ lừa đảo lần đầu tiên được báo cáo vào cuối năm 2017 bởi các chủ sở hữu website bị ảnh hưởng. Nạn nhân được chuyển đến trình duyệt bị khóa, sau đó chuyển hướng tới trang được thiết kế giống như một cửa hàng thời trang trực tuyến có tên là “Shoppers Stop” - website của thương hiệu nổi tiếng về chuỗi bán lẻ hàng may mặc tại Ấn Độ. Malwarebytes đã gọi chiến dịch này là “lừa đảo công nghệ Shoppers Stop”.

Trình duyệt bị khóa hiển thị thông tin giống tính năng cảnh báo của Google Safe Browsing. Nó ngăn người dùng đóng tab, hoặc cửa sổ trình duyệt bằng cách làm tràn lên màn hình các cửa sổ xác thực và đồng hồ đếm ngược trong thời gian 5 phút; cảnh báo về việc ổ cứng sắp bị xóa vì lý do an toàn, với mục đích hướng người dùng gọi tới số miễn phí hiển thị trên màn hình để được trợ giúp. Thông thường, những kẻ tấn công sẽ thêm các nút đóng trình duyệt, nhưng thực chất là mở toàn màn hình trình duyệt, hoặc tạo một popunder để liên tục làm mới tab chính.

Malwarebytes cho rằng, các website bị lây nhiễm do đã sử dụng các plug-in chứa trojan được ngụy trang thành các phiên bản miễn phí của hệ quản trị nội dung (Content Management System - CMS), hoặc sử dụng phần mềm thương mại theo cách miễn phí (Crack). Điều này không được khuyến cáo trong việc đảm bảo an toàn website, bởi những rủi ro mất an toàn và chi phí để sử dụng các plug-in phổ biến thường chỉ là một phần nhỏ so với chi phí khắc phục website sau khi bị tấn công.

Bên cạnh đó, nhà nghiên cứu Denis Sinegubko của công ty bảo mật website Sucuri (Mỹ) cũng đã phát hiện mã độc rogueads.unwanted_ads được viết bằng PHP, được sử dụng trong chiến dịch lừa đảo.

Để tăng khả năng thành công, kẻ tấn công cũng có thể chuyển hướng người dùng đến trình duyệt bị khóa thông qua “Hệ thống phân phối lưu lượng truy cập độc hại” (Black Traffic Distribution System - BlackTDS) như một phương pháp chuyển hướng thứ cấp. Đây là một công cụ xuất hiện từ cuối tháng 12/2017 với mục đích tạo ra một hệ thống phân phối lưu lượng truy cập dựa trên đám mây nhằm cung cấp cho người sử dụng các kỹ năng để chuyển hướng lưu lượng truy cập đến bộ công cụ, giúp người sử dụng truy cập vào các tên miền sạch, đồng thời ngăn chặn sự phát hiện của các nhà nghiên cứu và hộp cát (sand-box).

Tuy nhiên, các tính năng của BlackDTS đã bị kẻ tấn công lợi dụng để chuyển hướng lưu lượng truy cập của người dùng đến cùng một trang đích là Shoppers Stop. Tiếp đó, nó sẽ chuyển nạn nhân đến trình duyệt bị khóa thông qua kỹ thuật được gọi là chuyển hướng 301 hoặc chuyển hướng vĩnh viễn, được đăng ký một số tên miền cấp cao hiếm gặp như .accountant. Kẻ tấn công thường xuyên sử dụng luân phiên các tên miền để tránh bị liệt kê vào danh sách web đen.

Khi đã bị lây nhiễm, người dùng chỉ có thể sử dụng trình quản lý tác vụ để kết thúc các tiến trình đang chạy, hoặc khởi động lại máy tính để thoát khỏi các trang web giả mạo; không nên gọi điện đến số điện thoại hỗ trợ hiển thị trên màn hình, hoặc trả tiền dịch vụ để khắc phục sự cố.

Nhật Minh

Theo SC Media

‹ › ×

Tin liên quan

Trojan Linux sử dụng các thiết bị IoT bị hack để gửi thư rác

08:00 | 12/10/2017

Gần đây, các nghiên cứu của công ty an ninh Doctor Web (Nga) đã phát hiện ra một trojan trên thiết bị IoT chạy Linux được tội phạm mạng sử dụng để gửi thư rác với mục đích lừa đảo.

Phát hiện Trojan sử dụng chữ ký số hợp pháp

16:00 | 24/09/2018

Ngày 11/9/2018, đại diện hãng bảo mật Kaspersky tại Việt Nam cho biết đã phát hiện một biến thể Trojan mới tinh vi sử dụng chữ ký số hợp pháp.

Xafecopy Trojan - mã độc điện thoại mới

10:00 | 20/09/2017

Các chuyên gia từ Kaspersky Lab vừa phát hiện một mã độc mới có tên là Xafecopy, Trojan đánh cắp thông tin người dùng thông qua việc giả dạng như các ứng dụng di động thông thường.

Biến thể mới của trojan Emotet có khả năng lây lan nhanh như sâu máy tính

09:54 | 07/08/2017

Các nhà nghiên cứu của công ty an ninh mạng Fidelis (Mỹ) đã phát hiện ra một biến thể mới của trojan Emotet với khả năng lây lan nhanh chóng trong mạng nội bộ như sâu máy tính.

Tin cùng chuyên mục

49 triệu khách hàng của Dell bị vi phạm dữ liệu

16:00 | 15/05/2024

Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.

Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

14:00 | 05/03/2024

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.

29 họ phần mềm độc hại nhắm mục tiêu 1.800 ứng dụng ngân hàng trên toàn thế giới

14:00 | 16/01/2024

Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.