-
09/04/2020
-
115
-
1.147 bài viết
Chiến dịch quảng cáo độc hại toàn cầu: Hàng trăm nghìn người dùng bị nhắm mục tiêu
Một chiến dịch quảng cáo độc hại (malvertising) tinh vi vừa được Bitdefender phát hiện, cho thấy ngay cả những nền tảng quảng cáo lớn nhất cũng có thể bị biến thành “trạm trung chuyển” phát tán mã độc. Bắt đầu từ Facebook Ads, chiến dịch nhanh chóng mở rộng sang Google Ads và YouTube, nhắm vào những người dùng quan tâm đến tài chính. Chiến dịch dụ dỗ nạn nhân bằng lời hứa “miễn phí nâng cấp TradingView Premium” và các công cụ giao dịch cao cấp, nhưng thực chất là một chuỗi tải xuống chứa payload được thiết kế tinh vi nhằm chiếm đoạt dữ liệu và quyền truy cập.
Trông có vẻ vô hại, các quảng cáo dẫn tới landing page hiển thị nội dung bình thường để qua mắt kiểm duyệt; với những nạn nhân bị nhắm mục tiêu, đường dẫn sẽ chuyển hướng tới một trình cài đặt mang tên installer.exe. Một mánh khóe kỹ thuật đáng chú ý là việc sử dụng video unlisted làm quảng cáo trả phí: những video này không xuất hiện công khai mà chỉ chạy thông qua placements trả tiền, do đó né được kiểm duyệt cộng đồng trong khi vẫn lợi dụng dấu xác minh và hình ảnh thương hiệu để tạo niềm tin. Bitdefender ghi nhận một số clip đạt hơn 180.000 lượt xem trong vài ngày, mặc dù kênh bị chiếm quyền có lượng người theo dõi thấp và handle không trùng với chính chủ, cho thấy chiến dịch được đầu tư bài bản để tối đa hóa phạm vi tiếp cận.
Installer.exe không phải là trình cài đặt thông thường mà là một downloader cồng kềnh, kích thước lên tới khoảng 700 MB, được chế tác để đánh bại các sandbox tự động. Khi chạy, chương trình tạo một Scheduled Task mang tên EdgeResourcesInstallerV12-issg nhằm khởi động một loader PowerShell. Loader này giải mã các service worker đã bị obfuscated, tận dụng StreamSaver.js để thực hiện quá trình truyền tải các giai đoạn tiếp theo của mã độc, rồi thiết lập kênh liên lạc với hạ tầng command-and-control qua WebSocket tại cổng 30000, thay cho các route HTTP cũ trên cổng 30303 và 30308. Những lựa chọn kỹ thuật này cho thấy tác giả liên tục tinh chỉnh cơ chế giao tiếp để né tránh phát hiện và gia tăng độ bền của chiến dịch.
Khi được kích hoạt hoàn toàn, chuỗi tấn công triển khai một bộ module đa tác vụ gồm interceptor để proxy toàn bộ lưu lượng HTTP/S, cơ chế ghi lại phím bấm và chụp màn hình, cùng các stealer nhắm vào ví tiền điện tử lưu trữ cục bộ và extension trình duyệt. Các payload còn cố gắng duy trì bám trụ lâu dài bằng cách thiết lập ngoại lệ trên Windows Defender. Loader ban đầu được nhận diện là Variant.DenoSnoop.Marte.1, trong khi payload cuối cùng, được gọi là JSCEAL hoặc WeevilProxy, tích hợp khả năng đánh cắp dữ liệu và điều khiển từ xa, phù hợp cho cả mục tiêu tội phạm tài chính lẫn hoạt động gián điệp.
Quy mô chiến dịch không giới hạn trên nền tảng Windows. Telemetry của Bitdefender liên kết hơn 500 tên miền và subdomain phục vụ chuỗi tấn công, đồng thời phát hiện biến thể cho macOS mang tên Variant.MAC.Amos.9 và nhiều biến thể trên Android như Trojan.Dropper.AVV và Trojan.Banker.AVM. Hàng nghìn trang Facebook có lượng theo dõi thấp nhưng dùng ảnh đại diện chung chung đã được tận dụng để phát tán quảng cáo bằng nhiều ngôn ngữ, trong đó có tiếng Việt và tiếng Thái; kẻ tấn công thường xuyên xoay tên miền và thay đổi ngôn ngữ nhằm duy trì hiệu quả lừa đảo, đồng thời tận dụng các công cụ tracking hợp pháp như PostHog, Facebook Pixel, Google Ads Conversion Tracking và Microsoft Ads Pixel để tối ưu chuyển đổi.
Chiến dịch được tiến hành có hệ thống, xoay domain, đổi ngôn ngữ và tận dụng các cơ chế tracking hợp pháp để tối ưu chuyển đổi và kéo dài thời gian hoạt động, đồng thời đặt ra một thách thức kép cho cả cá nhân lẫn tổ chức: người dùng cá nhân rất dễ bị lôi kéo tải phần mềm từ các liên kết bên thứ ba nếu không đủ cảnh giác, trong khi nhà sáng tạo nội dung và doanh nghiệp có nguy cơ bị chiếm quyền tài khoản, khiến chính thương hiệu của họ trở thành kênh phát tán mã độc. Hành vi tái thương hiệu kênh YouTube bị chiếm, sao chép playlist chính chủ và sử dụng video unlisted làm quảng cáo trả tiền đã kiến tạo một lớp vỏ bọc cực kỳ thuyết phục, đến mức cả những người dùng có kinh nghiệm cũng có thể sập bẫy nếu không kiểm tra kỹ các dấu hiệu bất thường.
Để giảm thiểu rủi ro từ những chiến dịch tinh vi này, cần có chiến lược phòng ngừa đồng bộ và nhiều tầng. Người dùng tuyệt đối không tải phần mềm từ liên kết bên thứ ba, đồng thời phải kiểm tra kỹ handle và số lượng người theo dõi trước khi tin tưởng các quảng cáo dạng unlisted, và đặc biệt nên bật xác thực đa yếu tố (MFA) cho những tài khoản quan trọng. Với tổ chức và nhà sáng tạo nội dung, việc áp dụng MFA, kiểm soát chặt quyền truy cập, thường xuyên audit nhật ký thay đổi và thiết lập cảnh báo khi có biến động bất thường về thương hiệu hoặc nội dung kênh là những biện pháp tối thiểu. Ở cấp độ kỹ thuật, doanh nghiệp nên trang bị gateway kiểm tra liên kết, bộ lọc quảng cáo độc hại, giải pháp phát hiện hành vi trên endpoint cùng với cơ chế giám sát tên miền, nhằm nhanh chóng nhận diện và ngăn chặn các chiến dịch dựa trên kỹ thuật xoay domain.
Điểm mấu chốt của vụ việc không chỉ nằm ở kỹ thuật tinh vi, mà ở cách kẻ tấn công tận dụng chính những công cụ hợp pháp để lừa người dùng và che mắt nền tảng. Bài học rút ra là mỗi cú nhấp chuột vào quảng cáo hay mỗi lần tin vào dấu xác minh đều cần thêm một lớp hoài nghi. Với nền tảng và cộng đồng bảo mật, việc phát hiện sớm và phản ứng nhanh không còn là lựa chọn, mà là điều kiện để giữ cho quảng cáo trực tuyến đúng nghĩa công cụ tiếp cận, thay vì trở thành mồi nhử nguy hiểm.
Trông có vẻ vô hại, các quảng cáo dẫn tới landing page hiển thị nội dung bình thường để qua mắt kiểm duyệt; với những nạn nhân bị nhắm mục tiêu, đường dẫn sẽ chuyển hướng tới một trình cài đặt mang tên installer.exe. Một mánh khóe kỹ thuật đáng chú ý là việc sử dụng video unlisted làm quảng cáo trả phí: những video này không xuất hiện công khai mà chỉ chạy thông qua placements trả tiền, do đó né được kiểm duyệt cộng đồng trong khi vẫn lợi dụng dấu xác minh và hình ảnh thương hiệu để tạo niềm tin. Bitdefender ghi nhận một số clip đạt hơn 180.000 lượt xem trong vài ngày, mặc dù kênh bị chiếm quyền có lượng người theo dõi thấp và handle không trùng với chính chủ, cho thấy chiến dịch được đầu tư bài bản để tối đa hóa phạm vi tiếp cận.
Installer.exe không phải là trình cài đặt thông thường mà là một downloader cồng kềnh, kích thước lên tới khoảng 700 MB, được chế tác để đánh bại các sandbox tự động. Khi chạy, chương trình tạo một Scheduled Task mang tên EdgeResourcesInstallerV12-issg nhằm khởi động một loader PowerShell. Loader này giải mã các service worker đã bị obfuscated, tận dụng StreamSaver.js để thực hiện quá trình truyền tải các giai đoạn tiếp theo của mã độc, rồi thiết lập kênh liên lạc với hạ tầng command-and-control qua WebSocket tại cổng 30000, thay cho các route HTTP cũ trên cổng 30303 và 30308. Những lựa chọn kỹ thuật này cho thấy tác giả liên tục tinh chỉnh cơ chế giao tiếp để né tránh phát hiện và gia tăng độ bền của chiến dịch.
Khi được kích hoạt hoàn toàn, chuỗi tấn công triển khai một bộ module đa tác vụ gồm interceptor để proxy toàn bộ lưu lượng HTTP/S, cơ chế ghi lại phím bấm và chụp màn hình, cùng các stealer nhắm vào ví tiền điện tử lưu trữ cục bộ và extension trình duyệt. Các payload còn cố gắng duy trì bám trụ lâu dài bằng cách thiết lập ngoại lệ trên Windows Defender. Loader ban đầu được nhận diện là Variant.DenoSnoop.Marte.1, trong khi payload cuối cùng, được gọi là JSCEAL hoặc WeevilProxy, tích hợp khả năng đánh cắp dữ liệu và điều khiển từ xa, phù hợp cho cả mục tiêu tội phạm tài chính lẫn hoạt động gián điệp.
Quy mô chiến dịch không giới hạn trên nền tảng Windows. Telemetry của Bitdefender liên kết hơn 500 tên miền và subdomain phục vụ chuỗi tấn công, đồng thời phát hiện biến thể cho macOS mang tên Variant.MAC.Amos.9 và nhiều biến thể trên Android như Trojan.Dropper.AVV và Trojan.Banker.AVM. Hàng nghìn trang Facebook có lượng theo dõi thấp nhưng dùng ảnh đại diện chung chung đã được tận dụng để phát tán quảng cáo bằng nhiều ngôn ngữ, trong đó có tiếng Việt và tiếng Thái; kẻ tấn công thường xuyên xoay tên miền và thay đổi ngôn ngữ nhằm duy trì hiệu quả lừa đảo, đồng thời tận dụng các công cụ tracking hợp pháp như PostHog, Facebook Pixel, Google Ads Conversion Tracking và Microsoft Ads Pixel để tối ưu chuyển đổi.
Chiến dịch được tiến hành có hệ thống, xoay domain, đổi ngôn ngữ và tận dụng các cơ chế tracking hợp pháp để tối ưu chuyển đổi và kéo dài thời gian hoạt động, đồng thời đặt ra một thách thức kép cho cả cá nhân lẫn tổ chức: người dùng cá nhân rất dễ bị lôi kéo tải phần mềm từ các liên kết bên thứ ba nếu không đủ cảnh giác, trong khi nhà sáng tạo nội dung và doanh nghiệp có nguy cơ bị chiếm quyền tài khoản, khiến chính thương hiệu của họ trở thành kênh phát tán mã độc. Hành vi tái thương hiệu kênh YouTube bị chiếm, sao chép playlist chính chủ và sử dụng video unlisted làm quảng cáo trả tiền đã kiến tạo một lớp vỏ bọc cực kỳ thuyết phục, đến mức cả những người dùng có kinh nghiệm cũng có thể sập bẫy nếu không kiểm tra kỹ các dấu hiệu bất thường.
Để giảm thiểu rủi ro từ những chiến dịch tinh vi này, cần có chiến lược phòng ngừa đồng bộ và nhiều tầng. Người dùng tuyệt đối không tải phần mềm từ liên kết bên thứ ba, đồng thời phải kiểm tra kỹ handle và số lượng người theo dõi trước khi tin tưởng các quảng cáo dạng unlisted, và đặc biệt nên bật xác thực đa yếu tố (MFA) cho những tài khoản quan trọng. Với tổ chức và nhà sáng tạo nội dung, việc áp dụng MFA, kiểm soát chặt quyền truy cập, thường xuyên audit nhật ký thay đổi và thiết lập cảnh báo khi có biến động bất thường về thương hiệu hoặc nội dung kênh là những biện pháp tối thiểu. Ở cấp độ kỹ thuật, doanh nghiệp nên trang bị gateway kiểm tra liên kết, bộ lọc quảng cáo độc hại, giải pháp phát hiện hành vi trên endpoint cùng với cơ chế giám sát tên miền, nhằm nhanh chóng nhận diện và ngăn chặn các chiến dịch dựa trên kỹ thuật xoay domain.
Điểm mấu chốt của vụ việc không chỉ nằm ở kỹ thuật tinh vi, mà ở cách kẻ tấn công tận dụng chính những công cụ hợp pháp để lừa người dùng và che mắt nền tảng. Bài học rút ra là mỗi cú nhấp chuột vào quảng cáo hay mỗi lần tin vào dấu xác minh đều cần thêm một lớp hoài nghi. Với nền tảng và cộng đồng bảo mật, việc phát hiện sớm và phản ứng nhanh không còn là lựa chọn, mà là điều kiện để giữ cho quảng cáo trực tuyến đúng nghĩa công cụ tiếp cận, thay vì trở thành mồi nhử nguy hiểm.
Theo Cyber Press