Các nhà nghiên cứu an ninh mạng đã phát hiện chiến dịch malvertising mang tên DeceptionAds, hoàn toàn dựa vào một mạng quảng cáo để phát tán mã độc và đánh cắp dữ liệu. 

Chiến dịch này hiển thị hơn 1 triệu quảng cáo mỗi ngày trên hơn 3.000 trang web, lừa đảo hàng ngàn người dùng mất tài khoản và tiền bạc thông qua các trang CAPTCHA giả mạo.

DeceptionAds thường nhắm đến người dùng truy cập các trang web phim lậu và nội dung không đáng tin cậy. Nạn nhân bị chuyển hướng đến các trang CAPTCHA giả, nơi họ được yêu cầu sao chép và thực thi lệnh PowerShell mã hóa Base64. Lệnh này triển khai mã độc như Lumma stealer, đánh cắp thông tin cá nhân của người dùng.

Ngoài nhóm tấn công ban đầu, nhiều nhóm khác đã áp dụng phương pháp này để phát tán mã độc truy cập từ xa (RAT), mã độc đánh cắp thông tin, và các công cụ khai thác hậu tấn công như Brute Ratel C4.

Chiến dịch được phát hiện gắn liền với nền tảng quảng cáo Monetag và dịch vụ theo dõi quảng cáo BeMob. Kẻ tấn công sử dụng các công cụ này để chuyển hướng người dùng qua một Traffic Distribution System (TDS) trước khi dẫn họ đến CAPTCHA giả mạo, được lưu trữ trên các dịch vụ như Oracle Cloud, Scaleway, và Cloudflare’s R2.

Để qua mặt kiểm duyệt, kẻ tấn công cung cấp URL trung gian từ BeMob thay vì liên kết trực tiếp đến CAPTCHA giả mạo. Sau khi được báo cáo, Monetag đã xóa hơn 200 tài khoản liên quan đến chiến dịch này, trong khi BeMob cũng gỡ bỏ các tài khoản dùng để che giấu mã độc. Tuy nhiên, chiến dịch đã hoạt động trở lại từ ngày 5 tháng 12 năm 2024.

Nguồn: The hacker news