MinhSec
Writer
Một chiến dịch tấn công mạng quy mô lớn vừa phơi bày một sự thật đáng lo ngại: ranh giới giữa phần mềm quảng cáo và mã độc thực sự mong manh hơn nhiều người nghĩ.
Theo các chuyên gia bảo mật từ Huntress, chỉ với một bản cập nhật từ xa, một chương trình quảng cáo (adware) đã bị biến thành công cụ mở cửa hậu cho hacker, khiến gần 24.000 máy tính trên toàn cầu rơi vào trạng thái dễ bị tấn công.
Đáng chú ý, phần mềm này ban đầu chỉ bị xem là PUP tức “chương trình không mong muốn”, thường bị người dùng xem nhẹ. Tuy nhiên, chính sự chủ quan đó đã tạo điều kiện để tin tặc âm thầm cài cắm mã độc nguy hiểm.
Chiến dịch được cho là liên quan đến nhóm Dragon Boss Solutions LLC, tự nhận là công ty công nghệ nhưng thực chất phát triển các công cụ kiếm tiền từ quảng cáo trá hình. Họ đã phát tán phần mềm tới hàng chục nghìn thiết bị, sau đó tung bản cập nhật độc hại vào ngày 22/3/2025.
Thậm chí, mã độc còn tự động thêm ngoại lệ vào Windows Defender, giúp các phần mềm độc hại trong tương lai dễ dàng xâm nhập mà không bị phát hiện.
Điều nguy hiểm hơn là hệ thống cập nhật của phần mềm tồn tại một lỗ hổng nghiêm trọng: tên miền chính chưa được đăng ký. Điều này đồng nghĩa bất kỳ ai cũng có thể mua lại tên miền đó với chi phí rẻ và phát tán mã độc đến toàn bộ các máy đã bị nhiễm.
May mắn là các chuyên gia Huntress đã kịp thời kiểm soát tên miền này, qua đó ngăn chặn nguy cơ một cuộc tấn công quy mô lớn hơn.
Theo thống kê, hơn 23.500 thiết bị tại 124 quốc gia đã bị ảnh hưởng, bao gồm cả cơ quan chính phủ, trường đại học và doanh nghiệp lớn.
Trong nhiều trường hợp, phần mềm quảng cáo được sử dụng như một bước trung gian: âm thầm tồn tại trong hệ thống, chờ thời điểm thích hợp để tải về ransomware, botnet hoặc các loại mã độc khác.
Điều này khiến việc phát hiện trở nên khó khăn hơn, bởi nhiều hệ thống bảo mật không coi PUP là mối đe dọa nghiêm trọng.
Các chuyên gia khuyến nghị, để giảm rủi ro, người dùng và doanh nghiệp nên hạn chế cài đặt phần mềm không rõ nguồn gốc, đồng thời cân nhắc chặn hoàn toàn quảng cáo trên hệ thống nội bộ một biện pháp đơn giản nhưng có thể ngăn chặn nhiều cuộc tấn công nguy hiểm.(darkreading)
Theo các chuyên gia bảo mật từ Huntress, chỉ với một bản cập nhật từ xa, một chương trình quảng cáo (adware) đã bị biến thành công cụ mở cửa hậu cho hacker, khiến gần 24.000 máy tính trên toàn cầu rơi vào trạng thái dễ bị tấn công.
Đáng chú ý, phần mềm này ban đầu chỉ bị xem là PUP tức “chương trình không mong muốn”, thường bị người dùng xem nhẹ. Tuy nhiên, chính sự chủ quan đó đã tạo điều kiện để tin tặc âm thầm cài cắm mã độc nguy hiểm.
Chiến dịch được cho là liên quan đến nhóm Dragon Boss Solutions LLC, tự nhận là công ty công nghệ nhưng thực chất phát triển các công cụ kiếm tiền từ quảng cáo trá hình. Họ đã phát tán phần mềm tới hàng chục nghìn thiết bị, sau đó tung bản cập nhật độc hại vào ngày 22/3/2025.
Âm thầm vô hiệu hóa antivirus, mở đường cho tấn công tiếp theo
Bản cập nhật này không đơn giản chỉ là nâng cấp phần mềm. Nó được thiết kế để vô hiệu hóa hàng loạt công cụ bảo mật phổ biến như Kaspersky, McAfee hay Malwarebytes, đồng thời tạo cơ chế duy trì lâu dài trên hệ thống.
Thậm chí, mã độc còn tự động thêm ngoại lệ vào Windows Defender, giúp các phần mềm độc hại trong tương lai dễ dàng xâm nhập mà không bị phát hiện.
Điều nguy hiểm hơn là hệ thống cập nhật của phần mềm tồn tại một lỗ hổng nghiêm trọng: tên miền chính chưa được đăng ký. Điều này đồng nghĩa bất kỳ ai cũng có thể mua lại tên miền đó với chi phí rẻ và phát tán mã độc đến toàn bộ các máy đã bị nhiễm.
May mắn là các chuyên gia Huntress đã kịp thời kiểm soát tên miền này, qua đó ngăn chặn nguy cơ một cuộc tấn công quy mô lớn hơn.
Theo thống kê, hơn 23.500 thiết bị tại 124 quốc gia đã bị ảnh hưởng, bao gồm cả cơ quan chính phủ, trường đại học và doanh nghiệp lớn.
Ranh giới nguy hiểm giữa PUP và mã độc
Các chuyên gia cảnh báo rằng PUP không đơn thuần là “phần mềm gây phiền”, mà có thể trở thành nền tảng cho các cuộc tấn công nghiêm trọng.Trong nhiều trường hợp, phần mềm quảng cáo được sử dụng như một bước trung gian: âm thầm tồn tại trong hệ thống, chờ thời điểm thích hợp để tải về ransomware, botnet hoặc các loại mã độc khác.
Điều này khiến việc phát hiện trở nên khó khăn hơn, bởi nhiều hệ thống bảo mật không coi PUP là mối đe dọa nghiêm trọng.
Các chuyên gia khuyến nghị, để giảm rủi ro, người dùng và doanh nghiệp nên hạn chế cài đặt phần mềm không rõ nguồn gốc, đồng thời cân nhắc chặn hoàn toàn quảng cáo trên hệ thống nội bộ một biện pháp đơn giản nhưng có thể ngăn chặn nhiều cuộc tấn công nguy hiểm.(darkreading)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
