Giữa tháng 3 vừa qua, nhóm Nghiên cứu & Phân tích toàn cầu của Kaspersky (GReAT) đã phát hiện một làn sóng lây nhiễm mã độc xảy ra khi người dùng nhấn vào các liên kết lừa đảo được cá nhân hóa và gửi qua email. Sau khi nhấn vào liên kết, thiết bị của người dùng lập tức bị xâm nhập, ngay cả khi họ không thực hiện thêm bất cứ thao tác nào.
Theo các chuyên gia, tin tặc đã khai thác lỗ hổng zero-day (lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục) trong phiên bản mới nhất của trình duyệt Chrome. Các chuyên gia của Kaspersky đã ngay lập tức cảnh báo tới nhóm bảo mật của Google. Bản vá bảo mật cho lỗ hổng này được phát hành ngay sau đó, vào ngày 25/3.
Chia sẻ về chiêu trò của tin tặc, các chuyên gia cho biết, kẻ tấn công sử dụng hình thức gửi email, mời nạn nhân tham dự diễn đàn "Primakov Readings" để thực hiện hành vi lừa đảo. Các mục tiêu chính của cuộc tấn công bao gồm: các cơ quan truyền thông, các tổ chức giáo dục và các cơ quan chính phủ tại Nga.
Đáng chú ý là các liên kết độc hại chỉ tồn tại trong thời gian ngắn nhằm tránh bị phát hiện. Trong hầu hết trường hợp, các liên kết sẽ chuyển hướng đến trang web hợp pháp của Primakov Readings nhằm che giấu dấu vết sau khi hoàn tất quá trình lừa đảo.
Tuy nhiên, các chuyên gia cảnh báo, lỗ hổng zero-day trên trình duyệt Chrome chỉ là một mắt xích trong chuỗi tấn công. Trong đó, kẻ tấn công sử dụng ít nhất hai công cụ khai thác, một trong số đó là lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE), được cho là bước mở đầu cho cuộc tấn công. Hiện tại, các chuyên gia vẫn chưa thu thập được đầy đủ thông tin về lỗ hổng này. Bước thứ hai trong chuỗi tấn công là thông qua lỗ hổng vượt qua sandbox của Google Chrome, cũng chính là lỗ hổng zero-day mà các chuyên gia của Kaspersky đã phát hiện.
Các chuyên gia cho rằng, chiến dịch tấn công này chủ yếu phục vụ mục đích gián điệp. Các bằng chứng thu thập được đều cho thấy chiến dịch có liên quan đến một nhóm tin tặc APT.
"Lỗ hổng này đặc biệt nguy hiểm hơn so với hàng chục lỗ hổng zero-day mà chúng tôi từng phát hiện trong nhiều năm qua. Kẻ tấn công khai thác lỗ hổng này để vượt qua cơ chế bảo vệ sandbox của trình duyệt Chrome mà không cần thực hiện bất kỳ hành vi rõ ràng nào, như thể hệ thống bảo mật của trình duyệt gần như không tồn tại" - ông Boris Larin, Trưởng nhóm các nhà nghiên cứu bảo mật tại GReAT, cho biết:.
Dựa trên mức độ tinh vi của chiến dịch, có thể thấy phương thức tấn công này được phát triển bởi những nhóm tội phạm mạng có trình độ cao và nguồn lực lớn. Chính vì vậy, các chuyên gia của Kaspersky khuyến cáo, tất cả người dùng nên cập nhật trình duyệt Google Chrome và các trình duyệt sử dụng nền tảng Chromium lên phiên bản mới nhất để tránh nguy cơ bị tấn công.
