Hãng bảo mật Websense đã phát hiện ra cuộc tấn công Nine Ball và liên tục giám sát từ ngày 3/6. Cơ chế hoạt động của nó là load các trang web “nạn nhân” với nhiều malware nguy hiểm sau khi đã chiếm được chúng. Để tránh bị phát hiện, Nine Ball sử dụng phương thức nhận dạng và ghi nhớ IP từng lượt truy cập, theo đó nếu một IP liên tiếp truy cập vào website này sẽ được Nine Ball chuyển hướng đến trang tìm kiếm Ask.com.
“Ask.com hoàn toàn “trong sạch”. Việc Nine Ball chuyển hướng truy cập đến Ask.com chẳng qua là để đánh lạc hướng các nhà điều tra.”, theo Stephan Chenette, điều hành trung tâm bảo mật ở Websense.
Số lượng website là nạn nhận của Nine Ball ngày càng tăng
Stephan Chenette cho biết, nếu nạn nhân lần đầu truy cập vào website bị Nine Ball chiếm quyền nói trên, Nine Ball sẽ dẫn họ đi lòng vòng, cuối cùng đích đến dừng tại trang www.nine2rack.in. Thoạt nhìn, nạn nhân sẽ lầm tưởng đây là website ở Ấn Độ, nhưng thực chất nó lại thuộc Ukraina.
Tại đây, Nine Ball sẽ load trang bằng một số đoạn mã nguy hiểm, tìm cách khai thác lỗ hổng bảo mật MS06-014 MDAC và CVE-2006-5820 AOL SuperBuddy, cũng như nhắm vào hai phần mềm Adobe và Quicktime… Với lỗi MS06-014 MDAC của Windows, Nine Ball sẽ tải về máy nạn nhân Trojan có tên SOCKET2.DLL vào thư mục chứa bản cài hệ điều hành.
Đối với những lỗ hổng bị Nine Ball khai thác còn lại, Nine Ball “đề nghị” nạn nhân tải về những bản vá được gắn sẵn Trojan, keylogger… bên trong. Nguy hiểm hơn, trong số những Trojan và keylogger mà Nine Ball gắn kèm đó, có nhiều loại mà ngay cả những chương trình diệt virus nổi tiếng vẫn chưa thể nhận dạng.
Các đoạn code độc hại mà Nine Ball gắn vào website nạn nhân
Nine Ball chủ yếu tấn công bằng phương thức SQL Injection, đặc biệt đối với những website bảo mật kém. Nine Ball đánh cắp mật khẩu quản trị và đăng nhập vào những website này để chiếm quyền kiếm soát chúng.
Hiện Websense đang theo dõi chặt chẽ hoạt động của Nine Ball và tìm cách ngăn chặn.
Nguyễn Khoa
Theo Techworld, Websense