Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc tống tiền Cryptowall trên quảng cáo của nhiều website lớn
Vừa qua, các chuyên gia an ninh mạng Cisco Systems đã phát hiện quảng cáo độc hại trên các trang của Disney, Facebook, The Guardian và một số trang web khác. Các quảng cáo này dẫn người dùng đến website có chứa mã độc, mã hoá file và yêu cầu người dùng trả tiền.
Cloud Web Security (CWS) là hệ thống của Cisco, giám sát việc duyệt web của người dùng. Công ty này cho biết CWS đã chặn yêu cầu chuyển hướng đến 90 website mà phần lớn là các trang WordPress. Điều tra sâu hơn, Cisco phát hiện rất nhiều người sử dụng CWS đã bị chuyển hướng đến các trang chứa mã độc sau khi xem quảng cáo trên “apps.facebook.com”, “awkwardfamilyphotos.com”, “theguardian.co.uk” và “go.com” (một trong các website của Disney). Các quảng cáo này đã bị giả mạo, nếu click vào người dùng sẽ bị chuyển hướng đến 1 trong 90 website có chứa mã độc nói trên.
Dạng tấn công “malvertising” này không còn mới, tuy nhiên việc kiểm tra an ninh để ngăn chặn mã độc cho mạng lưới quảng cáo là không đơn giản. Người dùng thường tin tưởng hoàn toàn vào các đường link được dẫn từ một website đáng tin cậy, mà không biết rằng có thể các link đó được đưa vào từ một bên thứ ba. Nhiều khi các quảng cáo “xấu” lọt vào hàng loạt các trang quảng cáo đã đăng ký mà các trang này không hề hay biết.
90 website mà quảng cáo có chứa mã độc chuyển hướng đến đã bị hack trước đó. Với các site WordPress, tin tặc sử dụng phương pháp tấn công brute-force (tấn công dò mật khẩu) để chiếm quyền kiểm soát website. Sau đó, một bộ khai thác có tên gọi Rig sẽ kiểm tra xem người dùng có đang sử dụng phiên bản Flash, Java hoặc Silverlight chưa được vá hay không.
Tiếp đến, mã độc tống tiền “Cryptowall”, một biến thể của Cryptolocker, sẽ được cài đặt trong máy tính của người dùng. Mã độc này mã hóa các file và yêu cầu tiền chuộc để giải mã. Trang web nơi người dùng có thể trả tiền chuộc được tin tặc xây dựng trên mạng nặc danh TOR. Để truy cập đến một website thuộc mạng TOR này, người dùng phải cài đặt TOR và Cryptowall sẽ đưa ra hướng dẫn cài đặt cụ thể. Khoản tiền chuộc sẽ tăng lên theo thời gian nếu như người dùng trì hoãn việc chi trả cho tin tặc.
Dạng tấn công “malvertising” này không còn mới, tuy nhiên việc kiểm tra an ninh để ngăn chặn mã độc cho mạng lưới quảng cáo là không đơn giản. Người dùng thường tin tưởng hoàn toàn vào các đường link được dẫn từ một website đáng tin cậy, mà không biết rằng có thể các link đó được đưa vào từ một bên thứ ba. Nhiều khi các quảng cáo “xấu” lọt vào hàng loạt các trang quảng cáo đã đăng ký mà các trang này không hề hay biết.
90 website mà quảng cáo có chứa mã độc chuyển hướng đến đã bị hack trước đó. Với các site WordPress, tin tặc sử dụng phương pháp tấn công brute-force (tấn công dò mật khẩu) để chiếm quyền kiểm soát website. Sau đó, một bộ khai thác có tên gọi Rig sẽ kiểm tra xem người dùng có đang sử dụng phiên bản Flash, Java hoặc Silverlight chưa được vá hay không.
Tiếp đến, mã độc tống tiền “Cryptowall”, một biến thể của Cryptolocker, sẽ được cài đặt trong máy tính của người dùng. Mã độc này mã hóa các file và yêu cầu tiền chuộc để giải mã. Trang web nơi người dùng có thể trả tiền chuộc được tin tặc xây dựng trên mạng nặc danh TOR. Để truy cập đến một website thuộc mạng TOR này, người dùng phải cài đặt TOR và Cryptowall sẽ đưa ra hướng dẫn cài đặt cụ thể. Khoản tiền chuộc sẽ tăng lên theo thời gian nếu như người dùng trì hoãn việc chi trả cho tin tặc.
Nguồn: PCWorld
Chỉnh sửa lần cuối bởi người điều hành: