Quảng cáo độc hại có trong các trang web nổi tiếng: Java.com, eBay, Photobucket và các trang web cá nhân

Một công ty quảng cáo trực tuyến có trụ sở tại New York là AppNexus chuyên cung cấp những quảng cáo trực tuyến theo giờ một lần nữa được phát hiện là nguồn gốc của một chiến dịch “malvertising” gần đây, làm cho việc sử dụng Angler Exploit Kit chuyển hướng truy cập tới các trang web lưu trữ phần mềm độc hại ASPRox.

Hệ thống AppNexus xử lý 16 tỷ quảng cáo mỗi ngày, khiến nó trở thành trang web quảng cáo mở lớn chỉ sau Google. Tháng Năm, AppNexus đang phục vụ quảng cáo độc hại nhằm mục tiêu vào nền tảng Silverlight của Microsoft. Dịch vụ đăng ký Internet Video lớn nhất thế giới Netflix chạy trên Silverlight và vì tính phổ biến của nó, tin tặc đã khai thác được bộ tải công cụ với Silverlight.

Là một phần của chiến dịch này, người sử dụng một số trang web bao gồm Java.com, Deviantart.com, TMZ.com, Photobucket.com, IBTimes.com, eBay.ie, Kapaza.be và TVgids.nl tuần trước đã được chuyển hướng đến các trang web phục vụ quảng cáo độc hại, lây nhiễm máy tính khách bằng cách cài đặt botnet phần mềm độc hại trên máy tính của họ. Những nhà nghiên cứu của Fox – IT nói “Những trang web này không tự làm tổn thương bản thân, nhưng trở thành nạn nhân của malvertising. Điều này có nghĩa là một nhà cung cấp quảng cáo cung cấp dịch vụ của mình cho một phần nhỏ của trang web, phục vụ quảng cáo độc hại nhằm lây nhiễm phần mềm độc hại cho khách hàng”.

Bộ dụng cụ khai thác Angler có sẵn trên các diễn đàn ngầm và được sử dụng trong các chiến dịch độc hại khác nhau để chiếm trang web và chuyển hướng người dùng đến các trang web lưu trữ có chứa phần mềm độc hại và các loại mã độc hại. Và các nhà nghiên cứu cảnh báo người dùng không nên bấm vào bất kì quảng cáo nào.

Theo các nhà nghiên cứu, Angler đầu tiên sẽ kiểm tra nếu trình duyệt của nạn nhân cài một phiên bản hỗ trợ lỗi thời của Java, Adobe Flash Playerhay Microsoft Silverlight, và sau đó âm thầm cài đặt một biến thể của phần mềm độc hại ASPRox botnet.

ASPRox nói chung là một botnet thư rác mà đã tham gia vào nhiều cuộc tấn công cao cấp trên các trang web khác nhau để lây lan phần mềm độc hại. Các phần mềm độc hại gần đây đã được sửa đổi. Chỉ cần một cái nhấp chuột, tội phạm mạng có thể sử dụng nó để phát tán phần mềm độc hại thông qua các file đính kèm email với bộ dụng cụ khai thác. Nó cũng có chức năng đầu độc các trang web quét bằng các lỗ hổng và ăn cắp thông tin đăng nhập được lưu trữ trên máy tính của người dùng.

Sau khi truy cập vào một trang web quảng cáo độc hại, người sử dụng được chuyển hướng đến các quảng cáo như  [.]Femmotion[.]Com, sau đó chuyển hướng đến các bộ khai thác trên một số lĩnh vực khác gồm gloriousdead[.]Com và taggingapp[.]com.

Để hiển thị quảng cáo thu hút người dùng, các nhà quảng cáo tham gia vào một quá trình đấu thầu tự động, thời gian thực, gây khó khăn hơn để theo dõi và giảm thiểu quảng cáo độc hại. Trong chiến dịch malvertising này, các nhà quảng cáo độc hại là các nhà thầu cao nhất và chiếm được ưu tiên trong việc hiển thị quảng cáo.

Theo THN