Chiến dịch quảng cáo mã độc liên quan đến Magnitude Exploit Kit, lây nhiễm Ransomware

Tội phạm công nghệ cao đang lây nhiễm mã độc vào quảng cáo nhằm chuyển hướng lưu lượng của người dùng đến những trang chứa Magnitude Exploit Kit, sau đó sẽ lây nhiễm ransomware mã hóa file trên thiết bị người dùng.

Magnitude sử dụng tấn công drive-by-download nhằm lây nhiễm lên máy nạn nhân thông qua những plugin chứa lỗ hổng trên trình duyệt. Trước khi lây nhiêm qua Magnitude, các nhà nghiên cứu ZScaler giải thích trong báo cáo gần đây cho biết tin tặc sử dụng những quảng cáo độc hại, chuyển hướng người dùng đến trang chứa bộ công cụ khai thác Magnitude.

Những cuộc tấn công bước đệm – hay còn gọi là 302 cushioning – có mục đích qua mặt các biện pháp ngăn ngừa xâm nhập và hệ thống phát hiện bằng cách hiển thị một cảnh báo 302 HTTP. Trong cách này, khi người dùng ghé thăm một trang 302 giả mạo, trình duyệt sẽ tự động chuyển hướng đến trang web độc hại khác. Người dùng sẽ tương tác với giao diện web và Magnitude cung cấp một Flash payload có liên quan đến khai thác JavaScript MS13-009, một lỗi tràn số nguyên đã được vá trên Internet Explorer vào tháng 2 năm 2013.

Thông thường thì đó là giai đoạn Magnitude đưa malware vào máy nạn nhân. Tuy nhiên, trong cuộc tấn công này, tin tặc đã thêm một vài bước để Magnitude chèn thêm shellcode. Shellcode có một danh sách URL sử dụng thư viện urlmon.dl và dùng URL đầu tiên lây nhiễm người dùng với CrytoWall 3.0. Đây là một ransomware cao cấp mã hóa toàn bộ file và buộc người dùng phải trả Bitcoin nếu muốn lấy lại dữ liệu.

Hầu hết các hành vi quảng cáo độc trong vụ tấn công này bắt nguồn từ “click2.systemaffiliate.com,” điều hành bởi mạng quảng cáo SunlightMedia. SunlightMedia đã cô lập và chặn những quảng cáo xấu.

threatpost