Nhà nghiên cứu Jerome Segura của hãng an ninh mạng Malwarebytes (Mỹ) cho biết, vụ lừa đảo lần đầu tiên được báo cáo vào cuối năm 2017 bởi các chủ sở hữu website bị ảnh hưởng. Nạn nhân được chuyển đến trình duyệt bị khóa, sau đó chuyển hướng tới trang được thiết kế giống như một cửa hàng thời trang trực tuyến có tên là “Shoppers Stop” - website của thương hiệu nổi tiếng về chuỗi bán lẻ hàng may mặc tại Ấn Độ. Malwarebytes đã gọi chiến dịch này là “lừa đảo công nghệ Shoppers Stop”.
Trình duyệt bị khóa hiển thị thông tin giống tính năng cảnh báo của Google Safe Browsing. Nó ngăn người dùng đóng tab, hoặc cửa sổ trình duyệt bằng cách làm tràn lên màn hình các cửa sổ xác thực và đồng hồ đếm ngược trong thời gian 5 phút; cảnh báo về việc ổ cứng sắp bị xóa vì lý do an toàn, với mục đích hướng người dùng gọi tới số miễn phí hiển thị trên màn hình để được trợ giúp. Thông thường, những kẻ tấn công sẽ thêm các nút đóng trình duyệt, nhưng thực chất là mở toàn màn hình trình duyệt, hoặc tạo một popunder để liên tục làm mới tab chính.
Malwarebytes cho rằng, các website bị lây nhiễm do đã sử dụng các plug-in chứa trojan được ngụy trang thành các phiên bản miễn phí của hệ quản trị nội dung (Content Management System - CMS), hoặc sử dụng phần mềm thương mại theo cách miễn phí (Crack). Điều này không được khuyến cáo trong việc đảm bảo an toàn website, bởi những rủi ro mất an toàn và chi phí để sử dụng các plug-in phổ biến thường chỉ là một phần nhỏ so với chi phí khắc phục website sau khi bị tấn công.
Bên cạnh đó, nhà nghiên cứu Denis Sinegubko của công ty bảo mật website Sucuri (Mỹ) cũng đã phát hiện mã độc rogueads.unwanted_ads được viết bằng PHP, được sử dụng trong chiến dịch lừa đảo.
Để tăng khả năng thành công, kẻ tấn công cũng có thể chuyển hướng người dùng đến trình duyệt bị khóa thông qua “Hệ thống phân phối lưu lượng truy cập độc hại” (Black Traffic Distribution System - BlackTDS) như một phương pháp chuyển hướng thứ cấp. Đây là một công cụ xuất hiện từ cuối tháng 12/2017 với mục đích tạo ra một hệ thống phân phối lưu lượng truy cập dựa trên đám mây nhằm cung cấp cho người sử dụng các kỹ năng để chuyển hướng lưu lượng truy cập đến bộ công cụ, giúp người sử dụng truy cập vào các tên miền sạch, đồng thời ngăn chặn sự phát hiện của các nhà nghiên cứu và hộp cát (sand-box).
Tuy nhiên, các tính năng của BlackDTS đã bị kẻ tấn công lợi dụng để chuyển hướng lưu lượng truy cập của người dùng đến cùng một trang đích là Shoppers Stop. Tiếp đó, nó sẽ chuyển nạn nhân đến trình duyệt bị khóa thông qua kỹ thuật được gọi là chuyển hướng 301 hoặc chuyển hướng vĩnh viễn, được đăng ký một số tên miền cấp cao hiếm gặp như .accountant. Kẻ tấn công thường xuyên sử dụng luân phiên các tên miền để tránh bị liệt kê vào danh sách web đen.
Khi đã bị lây nhiễm, người dùng chỉ có thể sử dụng trình quản lý tác vụ để kết thúc các tiến trình đang chạy, hoặc khởi động lại máy tính để thoát khỏi các trang web giả mạo; không nên gọi điện đến số điện thoại hỗ trợ hiển thị trên màn hình, hoặc trả tiền dịch vụ để khắc phục sự cố.
Nhật Minh
Theo SC Media
08:00 | 12/10/2017
14:00 | 10/07/2024
16:00 | 24/09/2018
07:00 | 01/04/2019
09:00 | 24/01/2019
10:00 | 20/09/2017
14:00 | 15/08/2019
09:54 | 07/08/2017
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
10:00 | 30/08/2024
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
13:00 | 25/07/2024
Các trình duyệt web phổ biến như Google Chrome, Microsoft Edge, Opera và Brave đều dựa trên nền tảng mã nguồn mở Chromium hiện đang bị cáo buộc âm thầm gửi thông tin người dùng cho Google.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
09:00 | 11/10/2024