Bài liên quan
Cisco cho biết cuộc tấn công “Kyle và Stan” đang lan rộng trên các mạng quảng cáo. Trong đó, có một số tên tuổi nổi tiếng gồm YouTube, Amazon và Yahoo.
Theo blogger Armin Pelkmann cùng các cộng sự, chiến dịch “Kyle và Stan” đã bắt đầu từ tháng 5, chuyển hướng người dùng nhằm dụ dỗ họ tải về các trình đa phương tiện (media player) có chứa mã độc.
Ngoài 3 tên tuổi lớn đã liệt kê ở trên, ít nhất 71 tên miền khác bị ảnh hưởng từ chiến dịch này. Tin tặc kiểm tra truy cập của người dùng để tìm ra mục tiêu của chúng đang sử dụng Windows hay Mac, từ đó chuyển hướng người dùng đến loại mã độc tương ứng.
Mục tiêu của tin tặc là lừa những người dùng cả tin tải về và cài đặt các tệp tin giả dạng những phần mềm hợp pháp, cùng với cấu hình dành riêng cho người dùng được soạn kèm trong tệp tin tải về.
Không áp dụng cơ chế tấn công “tự động” (drive-by), thay vào đó tin tặc sử dụng phương pháp social engineering để lừa đảo người dùng cài đặt tệp tin.
Theo phân tích, tất cả hơn 700 tên miền bị ảnh hưởng đều có máy chủ đặt trên Amazon, có đăng ký bảo vệ quyền riêng tư và sử dụng cơ chế đặt tên bên dưới:
Tin tắc đã cố gắng tránh bị phát hiện bằng cách tạo ra tệp tin cấu hình dành riêng cho người dùng và mã kiểm tra khác nhau cho mỗi lượt tải về của họ.
Theo blogger Armin Pelkmann cùng các cộng sự, chiến dịch “Kyle và Stan” đã bắt đầu từ tháng 5, chuyển hướng người dùng nhằm dụ dỗ họ tải về các trình đa phương tiện (media player) có chứa mã độc.
Ngoài 3 tên tuổi lớn đã liệt kê ở trên, ít nhất 71 tên miền khác bị ảnh hưởng từ chiến dịch này. Tin tặc kiểm tra truy cập của người dùng để tìm ra mục tiêu của chúng đang sử dụng Windows hay Mac, từ đó chuyển hướng người dùng đến loại mã độc tương ứng.
Mục tiêu của tin tặc là lừa những người dùng cả tin tải về và cài đặt các tệp tin giả dạng những phần mềm hợp pháp, cùng với cấu hình dành riêng cho người dùng được soạn kèm trong tệp tin tải về.
Không áp dụng cơ chế tấn công “tự động” (drive-by), thay vào đó tin tặc sử dụng phương pháp social engineering để lừa đảo người dùng cài đặt tệp tin.
Theo phân tích, tất cả hơn 700 tên miền bị ảnh hưởng đều có máy chủ đặt trên Amazon, có đăng ký bảo vệ quyền riêng tư và sử dụng cơ chế đặt tên bên dưới:
kyle.mxp(1-4 digits).com hoặc stan.mxp(1-4 digits).com
Tin tắc đã cố gắng tránh bị phát hiện bằng cách tạo ra tệp tin cấu hình dành riêng cho người dùng và mã kiểm tra khác nhau cho mỗi lượt tải về của họ.
Nguồn: Whitehat
Post a Comment