Mạng lưới Malvertising Kyle và Stan lớn hơn gấp 9 lần so với báo cáo ban đầu

Mạng lưới Kyle và Stan Malvertising hiện tại lớn hơn gấp 9 lần so với báo cáo ban đầu của hãng.

Trong hai tuần kể từ khi nhận được báo cáo đầu tiên của Cisco về chiến dịch phân phối quảng cáo độc hại, các nhà nghiên cứu đã được mãn nhãn về lưu lượng dữ liệu từ xa, tính liên kết nhiều điểm và đặc biệt hơn họ đã biết được rằng có tới gần 6.500 tên miền độc hại có dính líu đến vấn đề này – con số này nhiều hơn tới 9 lần so với con số 703 mà Cisco đã báo cáo trước đó. Kết quả là, có nhiều hơn 31.000 kết nối được thực hiện tới các tên miền này, nhiều hơn gấp 3 lần so với con số 9.541 mà Cisco đã từng công bố.

Hai nhà nghiên cứu Craig Williams và Armin Pelkmann có thể lần ra dấu vết  của cuộc tấn từ năm 2012 và họ đã chứng minh được rằng nó hoạt động lâu hơn so với thông tin trong báo cáo rằng nó mới chỉ bắt đầu từ tháng Năm vừa qua.

Williams nói  “Chúng tôi nghĩ đó là một chiến dịch thành công đối với những kẻ tấn công”, thêm vào đó các con số đó thì tương ứng với số lần tấn công đã được phát hiện và bị chặn bởi một thiết bị bảo mật của Cisco. “Dựa trên những cuộc tấn công này, chúng tôi nghĩ rằng nó có liên quan với nhau”.

Các nhà nghiên cứu cho biết, Kyle và Stan không giống như những mạng malvertising bình thước khác ở chỗ nó có thể đặt quảng cáo tại những trang web lớn như Amazon, thậm chí ngay cả hai hệ điều hành là Windows và Mac OS X cũng là mục tiêu. Mỗi lần có một mục tiêu nào đó bị tấn công, một mã spin duy nhất trên phần mềm độc hại được cài đặt trên máy tính, với sự khác biệt tinh tế về cấu tạo nó đã tạo ra một dạng kiểm tra lỗi với tên gọi là MD5.

Khi nạn nhân truy cập vào một trang web lưu trữ các quảng cáo độc hại, trình duyệt của họ được chuyển hướng hai lần tùy thuộc vào tiêu đề của trình duyệt; người dùng Windows và Mac cuối cùng được gửi đến một địa chỉ URL lưu trữ phần mềm độc hại thích hợp cho mỗi nền tảng máy tính. Sau khi người dùng truy cập vào URL được tải cuối cùng, phần mềm gián điệp/phần mềm quảng cáo hoặc một tập tin tự động tải về máy tính của nạn nhân hoặc nạn nhân bị lừa phải cài đặt nó bởi vì nó đi kèm với một phần mềm hợp pháp như một phần mềm nghe nhạc.

Pelkmann nói “Chúng tôi đã dịch ngược các tập tin độc hại và có một phần duy nhất trong tất cả các tập tin mà làm cho quá trình kiểm tra lỗi đưa ra những kết quả hoàn toàn khác nhau”. ” Có những kỹ thuật tinh vi đã được sử dụng để lưu trữ và xáo trộn dữ liệu trên trang web. Những kẻ tấn công đang cố tình lợi dụng điều này để đánh lừa hệ thống kiểm tra và các phần mềm diệt virus khác”.

Chiến dịch malvertising hoạt động dựa trên việc nếu bất kỳ kẻ tấn công có thể có được một quảng cáo độc hại trên mạng – bằng cách tác động đến một máy chủ phục vụ quảng cáo hoặc lưu trữ dữ liệu quảng cáo hợp pháp và trả tiền cho một mạng lưới để phân phối nó, họ có thể phát triển một chiến dịch nhanh hơn nếu thông qua thư rác hoặc email lừa đảo.

Williams nói “Đó là sự phát triển tiếp theo của phần mềm độc hại . Với một bản tải về đi kèm, những kẻ tấn công sẽ gặp khó khăn với tình huống làm thế nào để dẫn dụ mọi người xem trang web, họ có thể gửi một chiến dịch email lớn, hoặc nhận được các phần mềm độc hại được nhúng vào một trang web bằng một cách nào đó”. “Sau đó thường là thành công. Nếu bạn có thể nhận được 1 phần trăm người xem thấy quảng cáo của bạn, bạn sẽ có một tỷ lệ thành công cao so với của một chiến dịch thư rác”.

Người dùng có thể không có công nghệ nhận diện chính xác trên các thiết bị hoặc có khuynh bấm tải một cách bừa bãi ứng dụng, đó là những khe hở để malvertising xâm nhập. Chặn quảng cáo thực sự sẽ giúp ích được điều này, hoặc tắt JavaScript khi không có nhu cầu dùng nó, có rất nhiều cách để loại bỏ nó.

Threatpost