Malvertising: Lợi dụng quảng cáo để phát tán phần mềm độc hại

Các nhà nghiên cứu Talos Intelligence của Cisco tin rằng tin tặc đã lên chiến dịch malvertising "Magnat", sử dụng quảng cáo trực tuyến gian lận để lừa người dùng cài đặt phần mềm hợp pháp. Nhóm tình báo về mối đe dọa an toàn thông tin mạng (ATTTM) này của Cisco tin rằng chiến dịch Magnat có thể đã bắt đầu vào cuối năm 2018 và nhắm mục tiêu đến người dùng ở Canada, Hoa Kỳ, Úc và một số quốc gia châu Âu khác.

Khi người dùng được chuyển hướng đến một bản phần mềm gian lận, máy tính của họ sẽ chạy một trình cài đặt giả mạo để triển khai ba phần mềm độc hại khác nhau vào hệ thống. Mặc dù trình cài đặt giả mạo có thể tiến hành cài đặt nhiều thành phần phần mềm độc hại, nhưng nó không cài đặt ứng dụng thực sự mà người dùng đang tìm kiếm ban đầu.

Phần mềm độc hại đầu tiên là một trình đánh cắp mật khẩu được sử dụng để thu thập thông tin đăng nhập của người dùng, thường thông qua một công cụ phổ biến được gọi là Redline. Một phần mềm độc hại khác, được gọi là MagnatBackdoor, thiết lập quyền truy cập từ xa vào thiết bị của người dùng thông qua Microsoft Remote Desktop. Quyền truy cập này, kết hợp với thông tin đăng nhập của người dùng bị Redline (hoặc một công cụ tương tự) đánh cắp, có thể cung cấp quyền truy cập không bị kiểm soát vào hệ thống của người dùng mặc dù đã được bảo mật và có tường lửa. Phần cuối cùng của bộ ba phần mềm độc hại là một tiện ích mở rộng của trình duyệt Chrome được gọi là MagnatExtension, được sử dụng để ghi lại mọi hoạt động của người dùng trên bàn phím thiết bị, lấy ảnh chụp màn hình của các thông tin nhạy cảm, v.v.

Một tweet vào tháng 8 năm 2021 đã cung cấp ảnh chụp màn hình và tải xuống các mẫu của một chiến dịch bị nghi ngờ là quảng cáo độc hại. Talos đã phân tích các mẫu được tham chiếu trong tweet và xác minh ít nhất một mẫu chứa các thành phần phần mềm độc hại MagnatBackdoor, MagnatExtension và Redline.

Talos tin rằng các công cụ Magnat đã được phát triển và cải tiến trong vài năm qua và không có dấu hiệu sẽ sớm chậm lại hoặc biến mất. Tên của gói trình cài đặt không ngừng phát triển và thường tham chiếu đến tên của các ứng dụng phổ biến để tạo uy tín và lừa người dùng triển khai gói. Ví dụ, tên gói tải xuống trước đây từng được đặt là viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe và battlefieldsetup_76522.exe.

Điều đáng chú ý là vào tháng 10/2021 và gần đây nhất là ngày 29/11, cả phần mềm độc hại Redline và Azorult đều bị phát hiện có trong các chiến dịch nhắm mục tiêu vào người dùng YouTube với các cuộc tấn công ăn cắp thông tin cá nhân và lạm dụng các công cụ truy cập từ xa hợp pháp để trộm tiền điện tử.

“Dựa vào việc hacker cố tình lấy cắp mật khẩu và cài đặt một tiện ích mở rộng của Chrome tương tự như trojan ngân hàng, chúng tôi đánh giá rằng kẻ tấn công nhằm mục tiêu có được thông tin đăng nhập của người dùng, có thể để bán hoặc để sử dụng cho mục đích khai thác thêm”, Tiago Pereira của Cisco Talos cho biết trong bài đăng trên blog của mình. 

Cần làm gì để phòng tránh malvertising?

Một bài viết về loại hình tấn công mạng malvertising trên Forbes.com cho biết, tội phạm mạng không bao giờ ngừng hoạt động, có nghĩa là các công ty hiện đại không bao giờ được phép mất cảnh giác. Đó không chỉ là vấn đề của các công ty công nghệ; nếu bạn có một trang web hoặc chỉ đơn giản là chấp nhận thanh toán bằng thẻ tín dụng, bạn có thể trở thành nạn nhân tiếp theo khi những kẻ xấu chuyển hướng lưu lượng truy cập web và đánh cắp dữ liệu của bạn.

Với mô hình tấn công mạng malvertising này, nơi săn lùng yêu thích của những kẻ xấu là ngành quảng cáo kỹ thuật số. Ở đây, tội phạm mạng tìm cách chiếm quyền điều khiển quảng cáo trực tuyến, giả mạo địa chỉ IP, phát tán phần mềm độc hại và chuyển hướng lưu lượng truy cập web đến các trang web độc hại. Đây được gọi là quảng cáo độc hại và nó có khả năng gây hại cho tất cả mọi người có liên quan đến quảng cáo trực tuyến - những nhà quảng cáo mua chúng, những nhà xuất bản web hiển thị chúng, những khách hàng nhấp vào chúng và các mạng quảng cáo trực tuyến.

Các nhà quảng cáo có thể thấy ngân sách tiếp thị của họ “đổ sông đổ bể” nếu tin tặc thay thế khách hàng tiềm năng chất lượng cao bằng những lưu lượng truy cập web chất lượng thấp hoặc gian lận. Các nhà xuất bản web cung cấp không gian cho quảng cáo trực tuyến có thể phải chịu hậu quả tồi tệ hơn nếu quảng cáo độc hại xâm nhập vào các trang web của họ. Các trang web có thể bị xóa trên các công cụ tìm kiếm lớn hoặc bị các mạng quảng cáo và chương trình liên kết “cấm cửa”, chưa kể đến thiệt hại về danh tiếng vì liên quan đến chiến thuật tấn công của hacker mũ đen. Người dùng cuối cũng bị tổn thương vì họ là những người có máy tính và điện thoại có thể bị nhiễm phần mềm độc hại hoặc dữ liệu cá nhân có thể bị đánh cắp.

Trước tình thế này, các mạng quảng cáo cần kết hợp tất cả các bên này lại với nhau, có trách nhiệm bảo vệ người tiêu dùng khỏi nguy cơ quảng cáo độc hại. Adsterra, mạng quảng cáo kết nối hơn 18.000 nhà xuất bản với hơn 12.000 nhà quảng cáo mỗi ngày, cho rằng nhiệm vụ này yêu cầu một phương pháp bảo mật nhiều lớp. Không có kỹ thuật đơn lẻ nào đủ để chống lại những mánh khóe không ngừng gia tăng của tội phạm mạng; trái lại, cần có một hệ sinh thái bảo mật kỹ thuật số để bảo vệ tất cả người dùng.

Chuẩn bị các lớp bảo vệ mạng lưới quảng cáo trước nguy cơ malvertising

Các mạng lưới quảng cáo nâng cao có thể xác định khách truy cập trang web, kết hợp họ với các quảng cáo thích hợp, xử lý các giao dịch quảng cáo và hiển thị quảng cáo trên trang, tất cả trong vòng một phần của giây. Vì vậy, hệ sinh thái bảo mật của các mạng lưới quảng cáo đều phải hoàn toàn tự động và nhanh. Tại Adsterra, lớp bảo mật này bao gồm giám sát thời gian thực của tất cả lưu lượng truy cập, địa chỉ IP, URL trang đích và nội dung quảng cáo sáng tạo. Bất cứ khi nào có sự thay đổi, nhà quản lý quảng cáo sẽ biết ngay lập tức.

Thực tế, mạng lưới quảng cáo phải theo dõi theo thời gian thực bởi các loại hình quảng cáo độc hại luôn biến động. Adsterra không ngừng nghiên cứu mã độc, xác định các mối đe dọa mới và đào tạo các thuật toán AI với các bộ dữ liệu mới.

Ngoài ra, cần có một lớp nhân sự gồm các chuyên gia thực sự, những người được đào tạo mới nhất và làm việc siêng năng để điều tra và khắc phục tất cả các trường hợp quảng cáo độc hại tiềm ẩn. Những chuyên gia này không chỉ có thể giúp tăng cường giám sát tự động các mạng quảng cáo thông qua sự hiểu biết sâu sắc của họ về các mối đe dọa trực tuyến, mà họ còn có thể là một phần mở rộng quan trọng của dịch vụ khách hàng, trấn an những khách hàng lo ngại về việc quảng cáo độc hại làm gián đoạn hoạt động kinh doanh của họ.

Việc cần làm tiếp theo là nâng cấp thường xuyên cho bảo mật máy chủ, mã hóa tất cả thông tin liên lạc, bảo mật thanh toán hiện đại và xác minh nhiều giai đoạn các tài khoản nhà quảng cáo. Những hoạt động này sẽ tạo ra các lớp bổ sung, mang đến phương pháp bảo vệ toàn diện, phòng ngừa quảng cáo độc hại.

Mọi doanh nghiệp đều không an toàn 100% trước nguy cơ quảng cáo độc hại

Ngày nay, các phương pháp bảo mật kỹ thuật số phải thận trọng với mọi thứ, bởi vì tội phạm mạng hoạt động mạnh mẽ trong việc đánh cắp dữ liệu và phát tán phần mềm độc hại. Và chúng có nhiều cách tấn công. Ví dụ, vì các mạng quảng cáo lấy từ nhiều máy chủ của bên thứ ba để tạo quảng cáo trên các trang web, một số tội phạm mạng tập trung đánh vào những máy chủ có lớp bảo mật yếu hơn. Nếu mạng quảng cáo không được chuẩn bị để tự động theo dõi nguồn cấp dữ liệu đến từ các máy chủ này, thì quảng cáo độc hại có thể lọt qua và xuất hiện trên các trang web của nhà xuất bản.

Một số tác nhân xấu cũng có thể bỏ qua hoàn toàn mạng quảng cáo và tập trung vào các trang đích của nhà quảng cáo, nơi khách truy cập web sẽ “sa bẫy” nếu họ nhấp vào quảng cáo. Nếu tội phạm mạng tìm cách lây nhiễm trang đích của nhà quảng cáo, nó sẽ không chỉ tạo ra các vấn đề cho nhà quảng cáo và người dùng cuối mà còn gây tiếng xấu cho chính nhà xuất bản và mạng quảng cáo. Vì vậy, một mạng quảng cáo có uy tín phải mở rộng phạm vi giám sát của mình để đảm bảo mọi bước đều được an toàn, từ thời điểm một quảng cáo tải lên đến thời điểm khách hàng tiềm năng chuyển đổi thành đơn hàng.

Một vấn đề nữa với quảng cáo trực tuyến đó là các nhà xuất bản quảng cáo thường được trả tiền dựa trên số lượng và chất lượng lưu lượng truy cập của họ, và các đơn vị có thể cố gắng đạt được tỷ lệ truy cập tốt bằng cách sử dụng bot để gian lận số liệu thống kê. Điều này gây lãng phí tiền cho doanh nghiệp quảng cáo. Vì vậy lợi ích tốt nhất của mạng quảng cáo là giám sát điều này và cấm các nhà xuất bản tham gia vào loại gian lận quảng cáo này.

Ngay cả những nhà xuất bản và nhà quảng cáo có uy tín nhất cũng không hoàn toàn an toàn trước nguy cơ quảng cáo độc hại. Cần cảnh giác tuyệt đối và có kiến thức chuyên môn thực sự để bảo vệ, chống lại các phương pháp tấn công ngày càng phát triển. Khi làm việc với các mạng quảng cáo trực tuyến, doanh nghiệp chỉ nên chọn những mạng đầu tư nhiều vào hệ sinh thái bảo mật kỹ thuật số của họ.