Vào mạng đọc báo, coi chừng máy tính bị nhiễm virus!

Các trang tin tức uy tín có lượng người truy cập khổng lồ ngày càng được giới tin tặc lợi dụng để cài mã độc qua quảng cáo hiển thị tiêm nhiễm vào máy tính của người dùng. Những trang tin hàng đầu thế giới như The New York Times, BBC, MSN, AOL…cũng nằm trong danh sách các website dạng này.

Khi người dùng truy cập và các trang web trên và nhấn vào quảng cáo độc hại trên đó, chúng sẽ chuyển hướng người dùng đến các trang web độc hại khác thông qua bộ khai thác Angler Exploit Kit (AEK) và tự động tiêm nhiễm mã độc vào máy tính nạn nhân.

Bộ công cụ Angler Exploit Kit (AEK) chứa nhiều tool hack và khai thác các lỗ hổng bảo mật zero-day cho phép tin tặc thực thi lệnh tấn công trực tiếp vào máy tính của người dùng truy cập trang web. Khi tấn công, tin tặc sẽ dò quét những máy tính chứa lỗ hổng đồng thời tải về Bedep Trojan và TeslaCrypt ransomware, hoặc có thể cài đặt những chương trình độc hại khác.

Được biết, những kẻ đứng sau  chiến dịch lợi dụng quảng cáo này nhắm vào những tên miền đã hết hạn của nhà cung cấp mang tên Brentsmedia (hiện đã đóng cửa vào đầu năm 2016). Tuy nhiên, tên miền của Brentsmedia đã được Pavel G Ashtahov mua lại vào ngày 6/3/2016, cũng là một ngày trước khi chiến dịch tấn công trên được tiến hành.

Một điều đáng lưu ý là, khi người dùng nạn nhân nhấn vào mẩu quảng cáo độc hại trên trang web thì một tệp tin JSON (Javascript Object Notation) sẽ được kích hoạt. Nó sẽ thực hiện kiểm tra các phần mềm diệt virus có được cài trên máy tính nạn nhân hay không, từ đó lựa chọn loại virus phù hợp để tiêm nhiễm vào thiết bị. Nếu máy tính đó có cài phần mềm diệt virus, bộ tool hack này sẽ không cài loại mã độc mà những phần mềm bảo mật có thể chặn và chiến dịch tấn công bị phát hiện. Nếu máy nạn nhân không cài phần mềm diệt virus, tin tặc sẽ lén khai thác lỗ hổng bảo mật và tiếp tục chuyển hướng người dùng đến các trang độc hại khác.

Các chuyên gia bảo mật cũng dự đoán chiến dịch này được triển khai thông qua hai mạng lưới liên kết cụ thể là Adnxs (đã khắc phục) và Taggify (chưa quan tâm đến sự nghiêm trọng của vấn đề). Và hai tên miền đã hết hạn giống với brentsmedia[.]com như là “envangmedia[.]com” và “markets.shangjiamedia[.]com” cũng đã được đăng kí sử dụng bởi tin tặc. Các tên miền liên quan đến “media” có khả năng cao nằm trong chiến dịch lợi dụng dịch vụ quảng cáo để phát tán mã độc đang trở thành một xu hướng đe doạ mới.

Như vậy rõ ràng việc máy tính có cài đặt phần mềm diệt virus là một trong những điều kiện giúp bảo vệ phòng tránh khỏi nguy cơ bị tấn công và bị khai thác trong chiến dịch theo phương pháp này. Bạn đã cập nhật phần mềm bảo mật của mình chưa?

Xuân Dung