Homelander The Seven
I will laser every f****** one of you!
Tháng 12/2024, đội phân tích mối đe dọa của Microsoft đã phát hiện một chiến dịch quảng cáo độc hại (malvertising) quy mô lớn, tác động đến gần một triệu thiết bị trên toàn cầu. Các chuyên gia truy vết nguồn gốc từ hai trang web phát trực tuyến bất hợp pháp, hé lộ cách thức tinh vi mà tội phạm mạng sử dụng để đánh cắp dữ liệu và triển khai mã độc. Sự việc này không chỉ cho thấy mối nguy ngày càng gia tăng từ quảng cáo trực tuyến mà còn đặt ra thách thức cho người dùng và các công ty công nghệ trong việc bảo vệ hệ thống.
Theo Microsoft, chiến dịch bắt nguồn từ hai trang web streaming bất hợp pháp: movies7 và 0123movie. Những kẻ tấn công đã nhúng quảng cáo chứa mã chuyển hướng (redirectors) vào các video trên hai nền tảng này. Khi người dùng xem nội dung, quảng cáo tự động kích hoạt, tạo doanh thu theo mô hình pay-per-view hoặc pay-per-click từ các mạng lưới malvertising. Từ đây, lưu lượng truy cập được dẫn qua một hoặc hai lớp chuyển hướng độc hại khác trước khi đưa nạn nhân đến đích cuối. Điểm đến thường là các trang web lừa đảo, chẳng hạn như những site giả mạo hỗ trợ kỹ thuật. Sau đó, người dùng bị dẫn tới các kho lưu trữ trên GitHub—nay đã bị gỡ bỏ—nơi chứa mã độc. Một khi tải xuống, mã này bắt đầu thu thập thông tin hệ thống và triển khai các tệp, script độc hại để đánh cắp tài liệu và dữ liệu quan trọng.
Chiến dịch không dừng lại ở việc lừa người dùng tải mã độc ban đầu. Microsoft phát hiện một kịch bản ba giai đoạn phức tạp. Giai đoạn thứ hai sử dụng mã độc để cài đặt các tải trọng (payload) tiếp theo, mở đường cho việc trích xuất dữ liệu. Đến giai đoạn thứ ba, một script PowerShell tải Trojan truy cập từ xa NetSupport (RAT) từ máy chủ điều khiển, đồng thời thiết lập cơ chế duy trì trong registry để đảm bảo mã độc hoạt động lâu dài.
NetSupport RAT sau đó có thể triển khai thêm Lumma—một phần mềm đánh cắp thông tin—hoặc phiên bản cập nhật của Doenerium infostealer. Những công cụ này cho phép kẻ tấn công thu thập dữ liệu nhạy cảm như tài khoản, mật khẩu hay tài liệu cá nhân từ thiết bị nạn nhân. Quy mô gần một triệu thiết bị bị ảnh hưởng cho thấy mức độ nguy hiểm và khả năng lan rộng của chiến dịch này.
Phát hiện của Microsoft không chỉ phơi bày sự dễ tổn thương của người dùng khi truy cập các trang web không an toàn mà còn nhấn mạnh vai trò của quảng cáo trực tuyến trong việc phát tán mã độc. Các trang streaming bất hợp pháp như movies7 và 0123movie vốn đã thu hút lượng lớn người dùng nhờ nội dung miễn phí, nay trở thành mồi nhử hoàn hảo cho tội phạm mạng. Việc sử dụng GitHub—một nền tảng đáng tin cậy—làm nơi lưu trữ mã độc càng cho thấy sự táo bạo và tinh vi của những kẻ đứng sau.
Sự kiện này cũng đặt ra câu hỏi về trách nhiệm của các nền tảng quảng cáo và công ty công nghệ trong việc ngăn chặn malvertising. Dù GitHub đã nhanh chóng gỡ bỏ các kho lưu trữ độc hại, thiệt hại ban đầu đã xảy ra, ảnh hưởng đến hàng trăm nghìn người dùng trên toàn cầu. Điều này cho thấy cần có biện pháp mạnh mẽ hơn để phát hiện và chặn đứng các chiến dịch tương tự ngay từ đầu.
Chiến dịch malvertising tháng 12/2024 là lời cảnh báo rõ ràng. Người dùng cần thận trọng khi truy cập các trang web không rõ nguồn gốc, đặc biệt là những nền tảng cung cấp nội dung miễn phí bất hợp pháp. Microsoft khuyến nghị cài đặt phần mềm diệt virus cập nhật và tránh nhấp vào quảng cáo đáng ngờ. Với các doanh nghiệp, việc giám sát lưu lượng mạng và đào tạo nhân viên nhận diện lừa đảo là bước đi quan trọng để giảm thiểu rủi ro.
Về phía công ty công nghệ, sự phối hợp giữa Microsoft, GitHub và các mạng quảng cáo là cần thiết để ngăn chặn mã độc lây lan qua những kênh tương tự trong tương lai. Phát hiện này của Microsoft không chỉ giúp hạn chế thiệt hại mà còn là hồi chuông thúc đẩy ngành công nghệ hành động nhanh hơn trước các mối đe dọa ngày càng phức tạp.
Theo Microsoft, chiến dịch bắt nguồn từ hai trang web streaming bất hợp pháp: movies7 và 0123movie. Những kẻ tấn công đã nhúng quảng cáo chứa mã chuyển hướng (redirectors) vào các video trên hai nền tảng này. Khi người dùng xem nội dung, quảng cáo tự động kích hoạt, tạo doanh thu theo mô hình pay-per-view hoặc pay-per-click từ các mạng lưới malvertising. Từ đây, lưu lượng truy cập được dẫn qua một hoặc hai lớp chuyển hướng độc hại khác trước khi đưa nạn nhân đến đích cuối. Điểm đến thường là các trang web lừa đảo, chẳng hạn như những site giả mạo hỗ trợ kỹ thuật. Sau đó, người dùng bị dẫn tới các kho lưu trữ trên GitHub—nay đã bị gỡ bỏ—nơi chứa mã độc. Một khi tải xuống, mã này bắt đầu thu thập thông tin hệ thống và triển khai các tệp, script độc hại để đánh cắp tài liệu và dữ liệu quan trọng.
Chiến dịch không dừng lại ở việc lừa người dùng tải mã độc ban đầu. Microsoft phát hiện một kịch bản ba giai đoạn phức tạp. Giai đoạn thứ hai sử dụng mã độc để cài đặt các tải trọng (payload) tiếp theo, mở đường cho việc trích xuất dữ liệu. Đến giai đoạn thứ ba, một script PowerShell tải Trojan truy cập từ xa NetSupport (RAT) từ máy chủ điều khiển, đồng thời thiết lập cơ chế duy trì trong registry để đảm bảo mã độc hoạt động lâu dài.
NetSupport RAT sau đó có thể triển khai thêm Lumma—một phần mềm đánh cắp thông tin—hoặc phiên bản cập nhật của Doenerium infostealer. Những công cụ này cho phép kẻ tấn công thu thập dữ liệu nhạy cảm như tài khoản, mật khẩu hay tài liệu cá nhân từ thiết bị nạn nhân. Quy mô gần một triệu thiết bị bị ảnh hưởng cho thấy mức độ nguy hiểm và khả năng lan rộng của chiến dịch này.
Phát hiện của Microsoft không chỉ phơi bày sự dễ tổn thương của người dùng khi truy cập các trang web không an toàn mà còn nhấn mạnh vai trò của quảng cáo trực tuyến trong việc phát tán mã độc. Các trang streaming bất hợp pháp như movies7 và 0123movie vốn đã thu hút lượng lớn người dùng nhờ nội dung miễn phí, nay trở thành mồi nhử hoàn hảo cho tội phạm mạng. Việc sử dụng GitHub—một nền tảng đáng tin cậy—làm nơi lưu trữ mã độc càng cho thấy sự táo bạo và tinh vi của những kẻ đứng sau.
Sự kiện này cũng đặt ra câu hỏi về trách nhiệm của các nền tảng quảng cáo và công ty công nghệ trong việc ngăn chặn malvertising. Dù GitHub đã nhanh chóng gỡ bỏ các kho lưu trữ độc hại, thiệt hại ban đầu đã xảy ra, ảnh hưởng đến hàng trăm nghìn người dùng trên toàn cầu. Điều này cho thấy cần có biện pháp mạnh mẽ hơn để phát hiện và chặn đứng các chiến dịch tương tự ngay từ đầu.
Chiến dịch malvertising tháng 12/2024 là lời cảnh báo rõ ràng. Người dùng cần thận trọng khi truy cập các trang web không rõ nguồn gốc, đặc biệt là những nền tảng cung cấp nội dung miễn phí bất hợp pháp. Microsoft khuyến nghị cài đặt phần mềm diệt virus cập nhật và tránh nhấp vào quảng cáo đáng ngờ. Với các doanh nghiệp, việc giám sát lưu lượng mạng và đào tạo nhân viên nhận diện lừa đảo là bước đi quan trọng để giảm thiểu rủi ro.
Về phía công ty công nghệ, sự phối hợp giữa Microsoft, GitHub và các mạng quảng cáo là cần thiết để ngăn chặn mã độc lây lan qua những kênh tương tự trong tương lai. Phát hiện này của Microsoft không chỉ giúp hạn chế thiệt hại mà còn là hồi chuông thúc đẩy ngành công nghệ hành động nhanh hơn trước các mối đe dọa ngày càng phức tạp.
