Theo TechRadar, một chiến dịch tấn công mạng sử dụng thủ đoạn tinh vi vừa bị phát hiện. Trong đó, tin tặc đã lợi dụng chính tên miền của Google để phát tán mã độc, qua mặt các biện pháp bảo vệ truyền thống.
Tưởng là Google, hóa ra “bẫy” mã độc
Báo cáo được nhóm chuyên gia bảo mật tại c/side công bố ngày 10/6 cho thấy, mã độc không hoạt động ngay sau khi xâm nhập mà chỉ được kích hoạt trong một vài điều kiện nhất định, khiến việc phát hiện trở nên cực kỳ khó khăn.
Cuộc tấn công bắt đầu bằng một đoạn mã độc được chèn vào trong trang web thương mại điện tử sử dụng nền tảng Magento đã bị tin tặc kiểm soát. Đoạn mã này dẫn người dùng đến URL sử dụng tên miền Google: https://accounts.google.com/o/oauth2/revoke .
Tuy nhiên, URL này chứa một tham số chuyển hướng đã bị tin tặc chỉnh sửa. Khi được giải mã, tham số này sẽ kích hoạt và chạy một đoạn mã JavaScript đã được nén lại bằng hàm eval(atob(...).
Đặc biệt, tập lệnh này chỉ được kích hoạt khi một số điều kiện nhất định. Chẳng hạn URL chứa từ “checkout” hoặc trình duyệt hoạt động tự động. Khi đó, mã độc sẽ âm thầm mở một kết nối đến máy chủ của tin tặc, cho phép tin tặc điều khiển từ xa, đánh cắp thông tin, đồng thời kiểm soát hoàn toàn hoạt động trình duyệt của nạn nhân.
Một trong những yếu tố then chốt giúp cuộc tấn công mạng này thành công là khả năng qua mặt các phần mềm diệt virus tiên tiến.
Tập lệnh độc hại được xây dựng với logic đơn giản và chỉ kích hoạt trong một vài trường hợp nhất định. Chính cách hoạt động này khiến cho các ứng dụng diệt virus trên Android hay công cụ quét mã độc hiện đại cũng khó phát hiện.
Đáng chú ý, các tải trọng JavaScript được truyền qua luồng OAuth, vốn trông có vẻ hợp pháp, thường không bị hệ thống bảo mật kiểm tra hay chặn lại, tạo điều kiện cho mã độc dễ dàng vượt qua lớp phòng vệ.
Không chỉ vậy, bộ lọc DNS và tường lửa truyền thống cũng khó phát hiện mã độc do các yêu cầu truy cập được gửi từ tên miền hợp pháp của Google.
Trước sự gia tăng của các cuộc tấn công mạng với thủ đoạn ngày càng tinh vi, chuyên gia khuyến cáo người dùng nên:
- Hạn chế các tập lệnh của bên thứ ba.
- Sử dụng trình duyệt riêng biệt cho các giao dịch quan trọng.
- Cảnh giác trước những biểu hiện bất thường của trang web, ngay cả khi truy cập vào những tên miền quen thuộc.
