Các website lớn bị lợi dụng phát tán mã độc

Sau khi thâm nhập thành công vào thiết bị của nạn nhân, các loại mã độc họ ransomware sẽ mã hóa dữ liệu của họ, và đòi tiền chuộc mới trả lại tự do cho dữ liệu - Ảnh: The Guardian

Công ty bảo mật Trend Micro đã khám phá ra chiến dịch phát tán mã độc rất nguy hiểm của tội phạm mạng, tấn công vào mạng quảng cáo được các báo điện tử lớn sử dụng để lây nhiễm mã độc vào thiết bị khách truy cập.

Những website nội dung như báo điện tử thường sử dụng một mạng quảng cáo. Nhà cung cấp dịch vụ mạng quảng cáo đóng vai trò trung gian giữa người muốn quảng cáo và nơi hiển thị các quảng cáo đó là website báo điện tử. Theo đó, hệ thống của mạng quảng cáo hiển thị tự động theo các thiết lập từ nhà quản lý dịch vụ khi có đơn đặt hàng quảng cáo.

Tội phạm mạng đã đăng ký các tên miền và email có kèm theo chữ "media" để tạo định danh thoạt trông như một công ty truyền thông đăng ký quảng cáo như bình thường. Dùng các tên miền (domain) gần hết hạn và các máy chủ (server) chứa mã độc tấn công.

Nghiên cứu của nhóm bảo mật Malwarebytes cho thấy chiến dịch này ảnh hưởng đến hàng loạt các website có lượng truy cập rất lớn gồm NYTimes.com (báo New York Times), MSN.comm, BBC.com, my.Xfinity.com, NFL.com, RealTor.com, Newsweek.com, TheHill.com, TheWeatherNetwork.com.

Các website trên đều có lượng truy cập từ vài triệu cho đến hơn 300 triệu lượt truy cập mỗi tháng, riêng MSN.com là 1,3 tỉ (nguồn: SimilarWeb).

Theo SpiderLabs, quảng cáo có kèm mã độc còn hiển thị trên Answers.com, ZeroHedge.com, và Infolinks.com.

Theo Trend Micro, chiến dịch phát tán mã độc của tội phạm mạng bắt đầu từ cuối tuần trước, kéo dài trong 5-6 ngày, tận dụng khả năng khai thác các lỗ hổng bảo mật mới nhất trong những phần mềm được sử dụng rộng rãi như Adobe Flash, Microsoft Silverlight... bằng công cụ Angler.

Các chuyên gia bảo mật từ SpiderLabs phân tích mã nguồn một tập tin đi kèm quảng cáo có đến hơn 12.000 dòng mã, giúp chúng có thể tránh cơ chế bảo vệ của rất nhiều công cụ bảo mật có mặt trên máy tính nạn nhân.

Nếu máy tính không có những chương trình bảo mật như anti-virus hay firewall... đoạn mã sẽ rước công cụ khai thác lỗi Angler EK về. Từ đó, Angler tiếp tục lây nhiễm vào máy tính nạn nhân đến hai loại mã độc gồm Bedep (trojan: giúp tội phạm mạng điều khiển từ xa máy tính nạn nhân) và TeslaCrypt (ransomware: mã hóa dữ liệu của nạn nhân và tống tiền).

TeslaCrypt thuộc họ ransomware chỉ tấn công vào các máy tính dùng Windows, mã hóa dữ liệu và yêu cầu nạn nhân trả tiền chuộc bằng tiền kỹ thuật số Bitcoin (BTC). Riêng loại trojan Bedep giúp tội phạm mạng điều khiển từ xa và làm các tác vụ khác trên máy nạn nhân.

Người dùng đã truy cập các website này từ tuần trước được khuyến cáo dùng công cụ bảo mật như anti-virus (đã cập nhật cơ sở dữ liệu mới nhất) quét toàn bộ dữ liệu trên máy tính, sau đó thay đổi các mật khẩu quan trọng như email, tài khoản ngân hàng... Ngoài ra, dữ liệu quan trọng cần được sao lưu ra ổ cứng gắn ngoài thường xuyên để phòng tránh các loại mã độc ransomware chiếm giữ không thể khôi phục được.