Nhà nghiên cứu Jerome Segura của hãng an ninh mạng Malwarebytes (Mỹ) cho biết, vụ lừa đảo lần đầu tiên được báo cáo vào cuối năm 2017 bởi các chủ sở hữu website bị ảnh hưởng. Nạn nhân được chuyển đến trình duyệt bị khóa, sau đó chuyển hướng tới trang được thiết kế giống như một cửa hàng thời trang trực tuyến có tên là “Shoppers Stop” - website của thương hiệu nổi tiếng về chuỗi bán lẻ hàng may mặc tại Ấn Độ. Malwarebytes đã gọi chiến dịch này là “lừa đảo công nghệ Shoppers Stop”.
Trình duyệt bị khóa hiển thị thông tin giống tính năng cảnh báo của Google Safe Browsing. Nó ngăn người dùng đóng tab, hoặc cửa sổ trình duyệt bằng cách làm tràn lên màn hình các cửa sổ xác thực và đồng hồ đếm ngược trong thời gian 5 phút; cảnh báo về việc ổ cứng sắp bị xóa vì lý do an toàn, với mục đích hướng người dùng gọi tới số miễn phí hiển thị trên màn hình để được trợ giúp. Thông thường, những kẻ tấn công sẽ thêm các nút đóng trình duyệt, nhưng thực chất là mở toàn màn hình trình duyệt, hoặc tạo một popunder để liên tục làm mới tab chính.
Malwarebytes cho rằng, các website bị lây nhiễm do đã sử dụng các plug-in chứa trojan được ngụy trang thành các phiên bản miễn phí của hệ quản trị nội dung (Content Management System - CMS), hoặc sử dụng phần mềm thương mại theo cách miễn phí (Crack). Điều này không được khuyến cáo trong việc đảm bảo an toàn website, bởi những rủi ro mất an toàn và chi phí để sử dụng các plug-in phổ biến thường chỉ là một phần nhỏ so với chi phí khắc phục website sau khi bị tấn công.
Bên cạnh đó, nhà nghiên cứu Denis Sinegubko của công ty bảo mật website Sucuri (Mỹ) cũng đã phát hiện mã độc rogueads.unwanted_ads được viết bằng PHP, được sử dụng trong chiến dịch lừa đảo.
Để tăng khả năng thành công, kẻ tấn công cũng có thể chuyển hướng người dùng đến trình duyệt bị khóa thông qua “Hệ thống phân phối lưu lượng truy cập độc hại” (Black Traffic Distribution System - BlackTDS) như một phương pháp chuyển hướng thứ cấp. Đây là một công cụ xuất hiện từ cuối tháng 12/2017 với mục đích tạo ra một hệ thống phân phối lưu lượng truy cập dựa trên đám mây nhằm cung cấp cho người sử dụng các kỹ năng để chuyển hướng lưu lượng truy cập đến bộ công cụ, giúp người sử dụng truy cập vào các tên miền sạch, đồng thời ngăn chặn sự phát hiện của các nhà nghiên cứu và hộp cát (sand-box).
Tuy nhiên, các tính năng của BlackDTS đã bị kẻ tấn công lợi dụng để chuyển hướng lưu lượng truy cập của người dùng đến cùng một trang đích là Shoppers Stop. Tiếp đó, nó sẽ chuyển nạn nhân đến trình duyệt bị khóa thông qua kỹ thuật được gọi là chuyển hướng 301 hoặc chuyển hướng vĩnh viễn, được đăng ký một số tên miền cấp cao hiếm gặp như .accountant. Kẻ tấn công thường xuyên sử dụng luân phiên các tên miền để tránh bị liệt kê vào danh sách web đen.
Khi đã bị lây nhiễm, người dùng chỉ có thể sử dụng trình quản lý tác vụ để kết thúc các tiến trình đang chạy, hoặc khởi động lại máy tính để thoát khỏi các trang web giả mạo; không nên gọi điện đến số điện thoại hỗ trợ hiển thị trên màn hình, hoặc trả tiền dịch vụ để khắc phục sự cố.
Nhật Minh
Theo SC Media
08:00 | 12/10/2017
14:00 | 10/07/2024
16:00 | 24/09/2018
07:00 | 01/04/2019
09:00 | 24/01/2019
10:00 | 20/09/2017
14:00 | 15/08/2019
09:54 | 07/08/2017
13:00 | 03/12/2024
Chuyên gia bảo mật Jan Michael Alcantara của nhà cung cấp giải pháp an ninh mạng Netskope (Mỹ) cho biết, họ đã phát hiện ra một biến thể mới của mã độc NodeStealer đang tấn công các tài khoản Facebook Ads Manager.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024