Buzz
Tin tặc lợi dụng tên miền Google để phát tán mã độc, lừa người dùng và đánh lừa phần mềm diệt virus.
Ảnh minh họa (Nguồn: Internet)
Theo TechRadar, một chiến dịch tấn công mạng với thủ đoạn cực kỳ tinh vi vừa được phát hiện. Tin tặc đã tận dụng chính tên miền của Google để phát tán mã độc, né tránh các biện pháp bảo vệ thông thường.
Tưởng là Google, hóa ra lại là “bẫy” mã độc
Báo cáo do nhóm chuyên gia bảo mật tại c/side công bố ngày 10/6 chỉ ra rằng mã độc không hoạt động ngay khi xâm nhập mà chỉ được kích hoạt trong những điều kiện nhất định, khiến việc phát hiện trở nên rất khó khăn.
Cuộc tấn công bắt đầu bằng đoạn mã độc được chèn vào trang web thương mại điện tử sử dụng nền tảng Magento bị tin tặc kiểm soát. Đoạn mã này dẫn người dùng đến URL sử dụng tên miền Google: https://accounts.google.com/o/oauth2/revoke .
Tuy nhiên, URL này chứa một tham số chuyển hướng đã bị tin tặc chỉnh sửa. Khi giải mã, tham số này sẽ kích hoạt một đoạn mã JavaScript được nén lại bằng hàm eval(atob(...).
Đặc biệt, đoạn tập lệnh chỉ chạy khi đáp ứng một số điều kiện nhất định, như URL có chứa từ “checkout” hoặc trình duyệt hoạt động tự động. Lúc đó, mã độc lặng lẽ kết nối đến máy chủ tin tặc, cho phép tin tặc điều khiển từ xa, đánh cắp thông tin và kiểm soát trình duyệt nạn nhân hoàn toàn.
Một yếu tố then chốt giúp cuộc tấn công mạng này thành công là khả năng vượt qua các phần mềm diệt virus tiên tiến.
Tập lệnh độc hại được thiết kế với logic đơn giản, chỉ kích hoạt trong một số trường hợp nhất định, khiến các ứng dụng diệt virus trên Android và công cụ quét mã độc hiện đại khó phát hiện.
Đáng chú ý, các tải trọng JavaScript được truyền qua luồng OAuth, vốn có vẻ hợp pháp, thường không bị hệ thống bảo mật kiểm tra hay chặn, tạo điều kiện cho mã độc dễ dàng vượt qua lớp phòng vệ.
Không những thế, bộ lọc DNS và tường lửa truyền thống cũng gặp khó khăn trong việc phát hiện mã độc do các yêu cầu truy cập xuất phát từ tên miền hợp pháp của Google.
Trước sự gia tăng của các cuộc tấn công mạng ngày càng tinh vi, các chuyên gia khuyến cáo người dùng nên:
- Giảm thiểu việc sử dụng các tập lệnh từ bên thứ ba.
- Dùng trình duyệt riêng biệt cho các giao dịch quan trọng.
- Luôn cảnh giác với các dấu hiệu bất thường trên trang web, kể cả khi truy cập vào những tên miền quen thuộc.
