Tin tặc cài đặt chứng chỉ SSL Let’s Encrypt vào website độc hại

Chứng chỉ HTTPS miễn phí Let’s Encrypt không chỉ giúp các website mã hóa lưu lượng người dùng mà còn “giúp” tin tặc không gian mạng phát tán malware tới người dùng thông qua các trang “bảo mật”.

Let’s Encrypt cho phép bất cứ ai cũng có thể cài đặt chứng chỉ SSL/TLS (Secure Socket Layer/Transport Layer Security) lên máy chủ web, giúp mã hóa toàn bộ lưu lượng giữa máy chủ và người dùng. Let’s Encrypt đã được công nhận bởi hầu hết các trình duyệt web lớn bao gồm Google Chrome, Mozilla Firefox và Microsoft Internet Explorer.

Các nhà nghiên cứu đã phát hiện một chiến dịch quảng cáo độc hại cài đặt mã độc ngân hàng lên máy tính và sử dụng chứng chỉ SSL miễn phí để che dấu lưu lượng độc hại. Quảng cáo độc hại là một kĩ thuật sử dụng quảng cáo trên các website để phát tán mã độc. Tin tặc chèn những đoạn mã độc vào website hợp pháp rồi sau đó chuyển hướng người dùng đến trang độc hại khác với sự giúp đỡ của các bộ công cụ khai thác.

Đã có một thời gian dài, tin tặc mua bán trao đổi những chứng chỉ SSL tại trở đen để triển khai trong quảng cáo độc hại. Nhưng với sự ra đời của chứng chỉ miễn phí, chúng có thể lợi dụng giả mạo để tiến hành tấn công người dùng.

Chiến dịch quảng cáo mới nhất mà Trend Micro phát hiện diễn ra vào 31/12 và ảnh hưởng chủ yếu tới người dùng Nhật Bản. Website sử dụng Angler Exploit Kit nhằm lây nhiễm trojan ngân hàng Vawtrack đánh cắp tài khoản trực tuyến. Trước đó tin tặc đã xâm hại vào một máy chủ hợp pháp rồi tiếp tục cài đặt chứng chỉ SSL miễn phí và lưu trữ quảng cáo độc hại trên tên miền phụ.

Vấn đề xảy ra khi Let’s Encrypt chỉ kiểm tra tên miền chính với Google Safe Browsing API. Thêm vào đó Let’s Encrypt không có chính sách thu hồi chứng chỉ đã cấp. Để tự bảo vệ bản thân bởi các cuộc tấn công như vậy, bạn cần:

• Luôn cập nhật trình duyệt web để giảm thiểu số lượng lỗ hổng khai thác bởi tin tặc.
• Sử dụng các biện pháp chặn quảng cáo trên trình duyệt.

THN