Cuộc Tấn Công Malvertising: Nguy Cơ và Khuyến Nghị Bảo Mật

08/03/2025
2 mins read
Nội dung
Nội dung bài viết từ The Hacker News
1. Chi tiết Chiến dịch:
2. Phương pháp Tấn công:
3. Phân phối Tải trọng:
4. Công cụ và Script đã sử dụng:
5. Tác động và Khuyến nghị:

Nội dung bài viết từ The Hacker News

Bài viết từ The Hacker News vào ngày 7 tháng 3 năm 2025 thảo luận về một chiến dịch malvertising quy mô lớn mà Microsoft đã phát hiện, ảnh hưởng đến hơn một triệu thiết bị trên toàn cầu. Dưới đây là các điểm chính từ bài viết:

1. Chi tiết Chiến dịch:

  • Chiến dịch malvertising đã được Microsoft phát hiện vào đầu tháng 12 năm 2024 và hiện đang được theo dõi với tên gọi Storm-0408, bao gồm các tác nhân đe dọa nổi tiếng trong việc phân phối malware truy cập từ xa hoặc đánh cắp thông tin qua phishing, SEO hoặc malvertising.

2. Phương pháp Tấn công:

  • Cuộc tấn công bắt nguồn từ các trang web phát trực tuyến bất hợp pháp được nhúng với các trình chuyển hướng malvertising. Những trình chuyển hướng này dẫn người dùng đến các trang web trung gian, sau đó chuyển hướng họ đến GitHub và các nền tảng khác như Discord và Dropbox.
  • Trình chuyển hướng ban đầu được nhúng trong một yếu tố iframe trên các trang web phát trực tuyến bất hợp pháp cung cấp nội dung bị sao chép, tạo ra một chuỗi chuyển hướng phức tạp với bốn đến năm lớp.

3. Phân phối Tải trọng:

  • Các kho lưu trữ GitHub đã được sử dụng như một nền tảng phát tán malware dropper, triển khai các chương trình bổ sung như Lumma Stealer và Doenerium có khả năng thu thập thông tin hệ thống.
  • Cuộc tấn công liên quan đến một quá trình nhiều giai đoạn:
    • Giai đoạn một: Thiết lập vị trí trên thiết bị mục tiêu.
    • Giai đoạn hai: Khảo sát hệ thống, thu thập và xuất dữ liệu, và phân phối tải trọng.
    • Giai đoạn ba: Thực hiện lệnh, phân phối tải trọng, né tránh phòng thủ, duy trì, giao tiếp điều khiển và xuất dữ liệu.
    • Giai đoạn bốn: Script PowerShell để cấu hình loại trừ Microsoft Defender và chạy các lệnh để tải dữ liệu từ một máy chủ từ xa.

4. Công cụ và Script đã sử dụng:

  • Các tác nhân đe dọa đã sử dụng nhiều script PowerShell để tải về NetSupport RAT, xác định các ứng dụng được cài đặt và phần mềm bảo mật, và quét các ví tiền điện tử chỉ ra khả năng đánh cắp dữ liệu tài chính.
  • Bên cạnh các công cụ đánh cắp thông tin, script PowerShell, JavaScript, VBScript và AutoIT đã được thực thi trên máy chủ. Các tác nhân đe dọa đã sử dụng các nhị phân và script sống trên đất (LOLBAS) như PowerShell.exe, MSBuild.exe và RegAsm.exe cho C2 và xuất dữ liệu của người dùng cũng như thông tin xác thực trình duyệt.

5. Tác động và Khuyến nghị:

  • Chiến dịch này đã ảnh hưởng đến nhiều tổ chức và ngành công nghiệp, bao gồm cả thiết bị tiêu dùng và doanh nghiệp, nhấn mạnh tính chất không phân biệt của cuộc tấn công.
  • Microsoft khuyên các doanh nghiệp nên xem xét và cập nhật các biện pháp bảo mật của họ kịp thời, ngừng sử dụng các phương pháp xác thực cũ, và thực hiện các phương pháp giám sát mạnh mẽ hơn. Các doanh nghiệp cũng nên đảm bảo rằng tất cả các tính năng bảo mật sẵn có được thiết lập và bật đúng cách.

Chiến dịch malvertising này cho thấy tính chất tinh vi và rộng rãi của các mối đe dọa mạng, nhấn mạnh nhu cầu về sự cảnh giác liên tục và các biện pháp bảo vệ robust để bảo vệ trước các cuộc tấn công như vậy.

Nguồn: https://thehackernews.com/2025/03/microsoft-warns-of-malvertising.html