Công ty bảo mật Cyphort đã vừa công bố một nghiên cứu cho thấy số lượng malware núp bóng các mạng quảng cáo đã tăng gấp 3 tính từ tháng 6 năm ngoái đến tháng 2 năm nay. Loại malware này (thường gọi là malvertising) tấn công bằng cách lén đưa các quảng cáo chứa mã độc vào một mạng lưới quảng cáo (ad network) từ xa. Sau đó mạng quảng cáo góp phần lan truyền các quảng cáo chứa mã độc đến nhiều trang web và cuối cùng là đến máy tính của những ai ghé thăm những trang web này. Hình thức tấn công thông thường lây nhiễm lên máy tính nhờ khai thác các lỗ hổng bảo mật trong Adobe Flash và malvertising sẽ được kích hoạt ngay sau khi đoạn quảng cáo đó được tải thành công.
Cyphort đã dùng một mẫu gồm 100.000 tên miền được ghé thăm nhiều nhất trên Alexa và thử đếm xem có bao nhiêu tên miền tạo điều kiện cho malvertising lây nhiễm trên máy tính người dùng với mỗi lần truy cập. Đây chỉ là một mẫu ngẫu nhiên và điều kiện đặt ra là một người dùng với mỗi lần truy cập vào trang web chỉ thấy được một phần quảng cáo do trang web đó đăng tải nhưng kết quả lại cho thấy xu hướng ngày một tăng về hoạt động của malware trên các mạng quảng cáo này. Đợt cao điểm nhất là vào tháng 8 năm ngoái, cùng thời điểm các nhà nghiên cứu bảo mật tại Malwarebytes phát hiện ra những hành vi bất thường trên một loạt các trang web dùng mạng quảng cáo Google DoubleClick.
Giai đoạn cao điểm là tháng 2 năm 2015, mặc dù số lượng các tên miền có khả năng lây nhiễm malvertising chỉ chiếm chưa đến nửa % trong tổng số các tên miền theo mẫu được chọn (407/100.000) nhưng các nhà nghiên cứu vẫn lo ngại bởi xu hướng phát triển ngày một nhanh và có thể tiếp tục leo thang trong suốt năm nay của loại hình malware này. Vào đầu tháng 8, chuyên gia bảo mật Jerome Segura tại Malwarebytes đã phát hiện ra các malware lây nhiễm trên Yahoo Ads và mạng quảng cáo riêng của trang web hẹn hò PlentyOfFish. Segura cho biết những phát hiện của Cyphort trùng khớp với những gì anh thấy. Anh cho biết: "Tôi nghĩ sự gia tăng của loại hình malvertising trên thực tế đã bắt đầu từ mùa thu năm ngoái và có thể trùng với giai đoạn phần mềm Adobe Flash Player dính lỗi bảo mật zero-day. Các ứng dụng chặn quảng cáo có thể được xem là một giải pháp tạm thời nhưng gốc rễ của vấn đề là những lỗ hổng bảo mật trên phần mềm có thể được kích hoạt theo nhiều cách để hacker khai thác, không chỉ dừng lại đối với malvertising".
Thật không may cho Cyphort là giới tin tặc đã thay đổi "chiến thuật" kể từ tháng 2 khi bổ sung một loạt các biện pháp chống phát hiện và cắt giảm dữ liệu có thể thu thập. Nhà nghiên cứu Nick Bilogorskiy tại Cyphort đã chỉ ra một bản cập nhật đối với bộ công cụ khai thác lỗ hổng Angler vốn được tin tặc sử dụng phổ biến giúp malvertising lẩn trốn trước hoạt động truy quét của công ty. Bilogorskiy nói: "Công cụ này hoàn toàn giúp malvertising lẩn tránh trước các biện pháp bảo mật." Tuy nhiên, Cyphort cũng thay đổi "chiến thuật" để đáp trả với tin tặc mặc dù quá trình chuyển đổi này có phần khó khăn hơn trước.
Theo: The Verge
