Tin tặc 'mượn' tên miền Google.com để tấn công

Chiêu thức tấn công tinh vi 'mượn' độ uy tín của Google khiến người dùng có thể bị tấn công mà không hề hay biết.

Theo TechRadar, một chiến dịch tấn công mạng tinh vi vừa bị phát hiện, trong đó tin tặc lợi dụng chính tên miền uy tín của Google để phát tán phần mềm độc hại, vô hiệu hóa các biện pháp bảo vệ truyền thống. Cuộc tấn công này được cho là rất khó phát hiện đối với người dùng thông thường.

Tên miền Google.com bị lợi dụng làm 'bệ phóng' tấn công mạng

Các nhà nghiên cứu bảo mật từ c/side vừa công bố một báo cáo đáng lo ngại về chiến dịch phần mềm độc hại mới. Theo đó, tin tặc đang 'vũ khí hóa' đường dẫn xác thực (OAuth) của Google để thực hiện các cuộc tấn công linh hoạt, có khả năng vượt mặt hầu hết các phần mềm diệt virus phổ biến hiện nay.

Thủ đoạn tấn công bắt đầu khi người dùng truy cập vào một trang web thương mại điện tử (dựa trên nền tảng Magento) đã bị xâm nhập. Tại đây, một đoạn mã độc sẽ ngấm ngầm thực thi bằng cách tham chiếu đến một URL đăng xuất của Google có vẻ hoàn toàn vô hại.

Tuy nhiên, bên trong URL này chứa một tham số đã bị thao túng. Chính tham số này sẽ giải mã và kích hoạt một đoạn mã JavaScript độc hại. Điểm mấu chốt của sự lừa đảo nằm ở việc sử dụng tên miền Google.com - một địa chỉ đáng tin cậy. Do đó, hầu hết các bộ lọc bảo mật và tường lửa đều 'mở cửa' cho phép mã độc đi qua mà không hề nghi ngờ.

Các nhà nghiên cứu cho biết, đoạn mã này chỉ được kích hoạt trong những điều kiện nhất định, chẳng hạn như khi người dùng truy cập vào trang thanh toán. Khi đó, nó sẽ âm thầm mở một kết nối đến máy chủ của tin tặc, cho phép chúng thực thi mã lệnh từ xa, đánh cắp thông tin và kiểm soát hoàn toàn phiên làm việc trên trình duyệt của nạn nhân.

Tại sao các phần mềm bảo mật lại 'bó tay'?

Hiệu quả của cuộc tấn công này đến từ khả năng lẩn tránh tinh vi của nó. Mã độc được làm rối rất kỹ và chỉ hoạt động theo điều kiện, khiến các công cụ quét virus tĩnh không thể nhận diện. Ngay cả các phần mềm diệt virus tốt nhất cũng có thể bỏ qua vì chúng thường không kiểm tra sâu các luồng dữ liệu được gửi qua một kênh có vẻ hợp pháp như Google OAuth.

Trong môi trường doanh nghiệp, các công cụ bảo vệ điểm cuối tiên tiến cũng có thể gặp khó khăn nếu quá phụ thuộc vào việc đánh giá độ uy tín của tên miền.

Làm thế nào để giữ an toàn?

Trong khi các chuyên gia an ninh mạng có công cụ để phân tích và phát hiện những hành vi bất thường này, người dùng thông thường vẫn là đối tượng dễ bị tổn thương nhất. Để giảm thiểu rủi ro, các chuyên gia khuyến cáo: