Các chiến dịch quảng cáo độc hại (malvertising) đang ngày càng tinh vi, trở thành một mối đe dọa mạng đáng kể. Những kẻ tấn công đang khai thác và thậm chí điều hành các công ty công nghệ quảng cáo (adtech) để phân phối mã độc, công cụ đánh cắp thông tin đăng nhập và các kế hoạch lừa đảo (phishing) trực tiếp qua các mạng quảng cáo chính thống.
Một nhóm các công ty liên kết chặt chẽ, được điều hành thông qua các công ty vỏ bọc, lưu trữ trên hạ tầng bị xâm nhập và đăng ký hàng loạt thông qua một nhà đăng ký khét tiếng, đã tạo điều kiện cho một tác nhân đe dọa nguy hiểm mang tên “Vane Viper” phân phối quảng cáo độc hại trên quy mô toàn cầu. Với khả năng phủ nhận trách nhiệm được tích hợp ở mọi lớp, các hoạt động này đã trở thành một mối đe dọa mạng dai dẳng đối với cả doanh nghiệp và người tiêu dùng.
Bản chất của Vane Viper và Chiến dịch Malvertising
Mô hình hoạt động tinh vi của Vane Viper
Chiến dịch của Vane Viper bắt đầu từ cấp doanh nghiệp cao nhất: AdTech Holding, một công ty có trụ sở tại Síp, kiểm soát các công ty con bao gồm PropellerAds, ProPushMe, Zeydoo, Notix và Adex. Các nền tảng này tự giới thiệu là các mạng quảng cáo cung cấp và yêu cầu hợp pháp, nhưng trên thực tế, chúng tổng hợp lưu lượng truy cập từ các trang web bị xâm nhập và định tuyến các nhấp chuột qua hệ thống phân phối lưu lượng truy cập (TDS) đến các trang đích độc hại.
Cấu trúc doanh nghiệp và Hạ tầng che đậy
Các hồ sơ doanh nghiệp cho thấy PropellerAds có liên quan đến các thực thể vỏ bọc ở Síp, Đảo Man và London. Nhà đăng ký của họ, URL Solutions (còn được gọi là Pananames), nằm trong số các nhà đăng ký rủi ro cao nhất cho việc đăng ký tên miền hàng loạt. Đằng sau vẻ ngoài bóng bẩy của các biểu ngữ và cửa sổ pop-up là một mạng lưới phức tạp gồm các công ty vỏ bọc.
Các công ty con của PropellerAds che giấu quyền sở hữu thông qua các công ty mẹ lồng ghép, và hạ tầng của chúng chồng chéo với mạng lưới lưu trữ của Webzilla – vốn nổi tiếng là nơi lưu trữ các trang web vi phạm bản quyền và các trang trại click-fraud. Các giám đốc điều hành có liên hệ với các nhà tài phiệt Nga và những kẻ lừa đảo bị kết án càng làm mờ đi trách nhiệm pháp lý, cho phép các chiến dịch malvertising phát triển mạnh mẽ dưới vỏ bọc của một mô hình quảng cáo chính thống. Chẳng hạn, Igor Limbakh xuất hiện với tư cách là giám đốc công ty cho cả PropellerAds và AdTech Holding, đồng thời nắm giữ các chức vụ giám đốc tại Samoukale Enterprises (Adex), Itpub, Finplat Technologies, Fourup và nhiều công ty khác.
Kỹ thuật Tấn công mạng và Cơ chế Lây nhiễm
Khai thác Thông báo Đẩy trình duyệt để duy trì quyền kiểm soát
Thay vì chỉ dựa vào quảng cáo biểu ngữ truyền thống, Vane Viper đã chuyển hướng sang khai thác các thông báo đẩy của trình duyệt và các script service-worker để đạt được tính bền bỉ và né tránh việc bị gỡ bỏ. Khi người dùng truy cập các tên miền bị xâm nhập hoặc tên miền giả mạo, họ sẽ được nhắc chấp nhận thông báo. Một khi được cấp quyền, các cảnh báo trong trình duyệt này sẽ liên tục phân phối các quảng cáo độc hại, các phần mềm độc hại nhỏ giọt và các mồi nhử phishing. Đây là một kỹ thuật tinh vi giúp Vane Viper duy trì tấn công mạng liên tục.
Bạn có thể tham khảo thêm về cơ chế này tại Infoblox Threat Intelligence.
Kỹ thuật Né tránh Phát hiện nâng cao
Các kỹ thuật che giấu động (dynamic cloaking) đảm bảo rằng các nhà nghiên cứu bảo mật chỉ nhìn thấy nội dung lành tính, trong khi các nạn nhân thực sự được định tuyến qua nhiều lớp chuyển hướng, các script “làm nhiễm độc lịch sử” (history poisoning) và các bộ lọc giới hạn địa lý (geofencing filters). Điều này làm cho việc phát hiện mối đe dọa mạng này trở nên cực kỳ khó khăn đối với các công cụ bảo mật truyền thống.
Luồng tấn công và Payload đa dạng
Lưu lượng truy cập bắt nguồn từ một liên kết bit.ly có thể được chuỗi hóa qua các lệnh TDS, proxy đối tác, và cuối cùng thả một tệp APK trojan ngân hàng lên các thiết bị Android. Bằng cách điều chỉnh payload dựa trên khu vực của người dùng, loại thiết bị và múi giờ, các chiến dịch này tối đa hóa tỷ lệ lây nhiễm và kiếm tiền từ mỗi nhấp chuột. Vane Viper đại diện cho một mối đe dọa mạng sử dụng các phương pháp phân phối payload cực kỳ linh hoạt.
Tác động đến Doanh nghiệp và Người dùng
Rủi ro đối với Hạ tầng Doanh nghiệp và Dữ liệu Người dùng
Các doanh nghiệp phải đối mặt với rủi ro khi các mạng quảng cáo hợp pháp vô tình phân phối mã độc hoặc các trang thu thập thông tin đăng nhập cho nhân viên. Trong khi đó, người tiêu dùng gặp phải các trang web đầy cạm bẫy đội lốt các trình phát video, cổng mua sắm hoặc tải xuống phần mềm. Điều này đặt ra một thách thức lớn trong việc đảm bảo an toàn cho cả môi trường làm việc và trải nghiệm trực tuyến cá nhân, góp phần vào sự phức tạp của mối đe dọa mạng tổng thể.
Thách thức trong Phát hiện và Khắc phục
Các công cụ bảo mật truyền thống gặp khó khăn khi đối phó với hạ tầng TDS bị che giấu và khả năng duy trì thông báo đẩy, làm cho việc phát hiện và khắc phục trở nên khó khăn. Sự tinh vi của chiến dịch Vane Viper làm nổi bật những lỗ hổng cơ bản trong hệ sinh thái quảng cáo kỹ thuật số, nơi ưu tiên quy mô và lợi nhuận hơn là trách nhiệm giải trình để đối phó hiệu quả với các chiến thuật tấn công mạng tinh vi như Vane Viper.
IOCs và Dữ liệu Hoạt động của Vane Viper
Vane Viper chiếm gần một nửa tổng số sự kiện đăng ký tên miền hàng loạt thông qua URL Solutions kể từ tháng 1 năm 2023. Các tên miền thông báo đẩy (push-notification domains) được quan sát bao gồm in-page-push.com và pushimg.com – một số hoạt động trong nhiều năm, trong khi hàng ngàn tên miền mới được đăng ký hàng tháng để thay thế những tên miền bị đóng.
Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)
# Mẫu tên miền thông báo đẩy:
in-page-push.com
pushimg.com
# Nhà đăng ký liên quan:
URL Solutions (Pananames)
# Công ty/Nền tảng Adtech liên quan:
AdTech Holding
PropellerAds
ProPushMe
Zeydoo
Notix
Adex
Thống kê đăng ký tên miền
Số lượng tên miền đăng ký hàng tháng đã tăng liên tục kể từ tháng 1 năm 2023, đạt mức tối đa 3.500 tên miền trong tháng 10 năm 2024. Đây là một minh chứng rõ ràng cho quy mô và sự kiên trì của mối đe dọa mạng này.
Chiến lược Phòng thủ và Tăng cường Bảo mật Mạng
Để giảm thiểu những mối đe dọa mạng này, các tổ chức phải áp dụng một chiến lược phòng thủ đa lớp. Điều này bao gồm việc triển khai các giải pháp bảo mật đầu cuối mạnh mẽ, lọc DNS, hệ thống phát hiện xâm nhập tiên tiến (IDS), và nâng cao nhận thức cho người dùng về các mối nguy hiểm từ quảng cáo độc hại và thông báo đẩy không mong muốn. Tăng cường bảo mật mạng là điều cốt yếu.
Cuối cùng, sự trỗi dậy của Vane Viper minh họa cách tội phạm mạng đã biến chuỗi cung ứng adtech thành một vũ khí, tạo ra một mối đe dọa mạng nghiêm trọng. Nếu không có các cải cách hệ thống – như các yêu cầu minh bạch tiêu chuẩn hóa, trách nhiệm giải trình mạnh mẽ hơn của nhà đăng ký và các giao thức xử lý lạm dụng trên toàn ngành – chu kỳ malvertising sẽ tiếp diễn. Đối với các nhà phòng thủ và người dùng internet, thách thức là rõ ràng: để lấy lại niềm tin vào quảng cáo kỹ thuật số, hệ sinh thái adtech phải được thiết kế lại để ưu tiên trách nhiệm hơn là phạm vi tiếp cận, nhằm đảm bảo một môi trường bảo mật mạng tốt hơn cho tất cả mọi người.
