Chiến dịch quảng cáo độc hại mới sử dụng Angler Exploit Kit tấn công người dùng

Các nhà nghiên cứu vừa mới phát hiện một chiến dịch quảng cáo độc hại lớn tấn công người dùng tại Châu Âu và Mỹ. Cuộc tấn công tập trung vào những trang có lưu lượng truy cập lớn bao gồm CNN Indonesia, trang chủ Prague Airport, Detik, AASTOCKS, RTL Television Croatia và trò chơi Bejewled Blitz trên Facebook.

Các trang web bị ảnh hưởng sử dụng công nghệ quảng cáo mã nguồn mở Revive Adserver để lưu trữ và quản lý dịch vụ quảng cáo. Rất nhiều trang web sử dụng Revive Adserver script giống nhau và đây là đối tượng để tin tặc tấn công. Mã độc được chèn vào Revive Adserver script sẽ dẫn người dùng tới Angler Exploit Kit.

Tin tặc sử dụng bộ công cụ khai thác Angler Exploit Kit với lỗ hổng trong Adobe Flash Player (CVE-2015-3090) để lây nhiễm Bunitu Trojan.  Bunitu Trojan sẽ biến hệ thống người dùng thành một zombie computer. Nó sẽ tải một thư viện DLL để mở cổng ngẫu nhiên với SOCKS5 proxy và  HTTP proxy. Trojan còn sử dụng một cơ sở dự phòng trong trường hợp máy chủ gốc của chúng không hoạt động.

Ít nhất 50 triệu người dùng mỗi tháng có thể bị tấn công. Mã độc không phải lúc nào cũng thực thi khiến các công cụ phân tích tự động khó phát hiện. Mạng lưới quảng cáo đang mở rộng khắp và là nguồn thu lợi nhuận chính trên Internet. Chúng có thể bị khai thác và trở thành mối đe dọa lớn đối với người dùng.

securityweek