Tội phạm mạng đã khai thác sức mạnh của hai mạng lưới quảng cáo trực tuyến, DoubleClick và công ty quảng cáo Zedo phổ biến của Google, để cung cấp quảng cáo độc hại cho hàng triệu người sử dụng internet có thể cài đặt phần mềm độc hại trên máy tính của người dùng.
Một báo cáo gần đây được công bố bởi các nhà nghiên cứu của hãng bảo mật Malwarebytes cho thấy tội phạm mạng đang khai thác một số trang web, trong đó có The Times of Israel, The Jerusalem Post và các trang web âm nhạc trực tuyến Last.fm, để phục vụ quảng cáo độc hại được thiết kế để truyền bá gần đây xác định phần mềm độc hại Zemot.
Malvertising không có bất kỳ chiến thuật mới được sử dụng bởi tội phạm mạng, nhưng Jerome Segura, một nhà nghiên cứu bảo mật cao cấp của Malwarebytes, đã viết trong một bài đăng blog rằng công ty của ông "hiếm khi nhìn thấy các cuộc tấn công trên quy mô lớn như thế này."
"Đó là hoạt động nhưng không quá rõ ràng cho một số tuần cho đến khi chúng tôi bắt đầu nhìn thấy các trang web phổ biến bị gắn cờ trong honeypot của chúng tôi," Segura viết. "Đó là khi chúng tôi nghĩ, một cái gì đó đang xảy ra."
Những ấn tượng đầu tiên đến vào cuối tháng Tám, và bây giờ hàng triệu máy tính đã có thể đã tiếp xúc với Zemot, mặc dù chỉ có những người có lỗi thời bảo vệ chống virus đã thực sự bị nhiễm bệnh.
Theo Segura, các quảng cáo độc hại dẫn người dùng đến trang web có chứa hạt nhân khai thác bộ, trông cho một phiên bản chưa được vá của Adobe Flash Player hoặc Internet Explorer chạy trên hệ thống của nạn nhân. Nếu tìm thấy một, nó tải về các phần mềm độc hại Zemot, sau đó giao tiếp nó vào một máy chủ từ xa và tải về một làn sóng của các ứng dụng độc hại khác.
Tuy nhiên, do thời gian phần mềm độc hại đã được phát hiện, hàng triệu máy máy tính có thể đã được tiếp xúc với Zemot, các nhà nghiên cứu cho biết, nhưng đồng thời có nghĩa là ông cũng nói thêm rằng chỉ có những người sử dụng với out-of-date bảo vệ phần mềm chống virus đã thực sự bị nhiễm bởi các phần mềm độc hại.
Các phần mềm độc hại Zemot được xác định bởi Microsoft hồi đầu tháng này. Theo Microsoft, Zemot thường được phân phối không chỉ bởi hạt nhân khai thác bộ mà còn bởi Tầm quan trọng khai thác bộ phần mềm độc hại và các spambot Kuluoz. Các phần mềm độc hại tập trung trên các máy tính chạy Windows XP, mặc dù nó cũng có thể lây nhiễm các hệ điều hành hiện đại hơn chạy trên x86 và máy 64 bit.
Các phần mềm độc hại có thể dễ dàng bỏ qua các phần mềm bảo mật được cài đặt trong hệ thống trước khi lây nhiễm máy tính với phần mềm độc hại khác, do đó rất khó để xác định các cuộc tấn công nó đặt ra trên một hệ thống.
Một đại diện của Google đã xác nhận hành vi vi phạm, và nói rằng nhóm nghiên cứu đã nhận thức được hành vi vi phạm và từ đó đã đóng cửa tất cả các máy chủ bị ảnh hưởng đã được chuyển hướng mã độc hại, và đã vô hiệu hóa các quảng cáo phân phối phần mềm độc hại cho máy tính của người dùng, báo cáo The Verge.
Một báo cáo gần đây được công bố bởi các nhà nghiên cứu của hãng bảo mật Malwarebytes cho thấy tội phạm mạng đang khai thác một số trang web, trong đó có The Times of Israel, The Jerusalem Post và các trang web âm nhạc trực tuyến Last.fm, để phục vụ quảng cáo độc hại được thiết kế để truyền bá gần đây xác định phần mềm độc hại Zemot.
Malvertising không có bất kỳ chiến thuật mới được sử dụng bởi tội phạm mạng, nhưng Jerome Segura, một nhà nghiên cứu bảo mật cao cấp của Malwarebytes, đã viết trong một bài đăng blog rằng công ty của ông "hiếm khi nhìn thấy các cuộc tấn công trên quy mô lớn như thế này."
"Đó là hoạt động nhưng không quá rõ ràng cho một số tuần cho đến khi chúng tôi bắt đầu nhìn thấy các trang web phổ biến bị gắn cờ trong honeypot của chúng tôi," Segura viết. "Đó là khi chúng tôi nghĩ, một cái gì đó đang xảy ra."
Những ấn tượng đầu tiên đến vào cuối tháng Tám, và bây giờ hàng triệu máy tính đã có thể đã tiếp xúc với Zemot, mặc dù chỉ có những người có lỗi thời bảo vệ chống virus đã thực sự bị nhiễm bệnh.
Theo Segura, các quảng cáo độc hại dẫn người dùng đến trang web có chứa hạt nhân khai thác bộ, trông cho một phiên bản chưa được vá của Adobe Flash Player hoặc Internet Explorer chạy trên hệ thống của nạn nhân. Nếu tìm thấy một, nó tải về các phần mềm độc hại Zemot, sau đó giao tiếp nó vào một máy chủ từ xa và tải về một làn sóng của các ứng dụng độc hại khác.
Tuy nhiên, do thời gian phần mềm độc hại đã được phát hiện, hàng triệu máy máy tính có thể đã được tiếp xúc với Zemot, các nhà nghiên cứu cho biết, nhưng đồng thời có nghĩa là ông cũng nói thêm rằng chỉ có những người sử dụng với out-of-date bảo vệ phần mềm chống virus đã thực sự bị nhiễm bởi các phần mềm độc hại.
Các phần mềm độc hại Zemot được xác định bởi Microsoft hồi đầu tháng này. Theo Microsoft, Zemot thường được phân phối không chỉ bởi hạt nhân khai thác bộ mà còn bởi Tầm quan trọng khai thác bộ phần mềm độc hại và các spambot Kuluoz. Các phần mềm độc hại tập trung trên các máy tính chạy Windows XP, mặc dù nó cũng có thể lây nhiễm các hệ điều hành hiện đại hơn chạy trên x86 và máy 64 bit.
Các phần mềm độc hại có thể dễ dàng bỏ qua các phần mềm bảo mật được cài đặt trong hệ thống trước khi lây nhiễm máy tính với phần mềm độc hại khác, do đó rất khó để xác định các cuộc tấn công nó đặt ra trên một hệ thống.
Một đại diện của Google đã xác nhận hành vi vi phạm, và nói rằng nhóm nghiên cứu đã nhận thức được hành vi vi phạm và từ đó đã đóng cửa tất cả các máy chủ bị ảnh hưởng đã được chuyển hướng mã độc hại, và đã vô hiệu hóa các quảng cáo phân phối phần mềm độc hại cho máy tính của người dùng, báo cáo The Verge.
Theo THN