 |
Hầu hết các cuộc tấn công kiểu này đều “cắm” các khung nội dung (iframe) ẩn trên các trang web hợp pháp, khi người dùng truy cập, họ sẽ bị chuyển hướng đến trang chứa malware. Các nhà nghiên cứu của ESET nhận thấy mã JavaScript lừa đảo được khéo léo “cấy” vào các tập tin JavaScript tại website (local JavaScript), được tải lên trong phần “head” của mỗi trang HTML; khiến việc phát hiện chúng trở nên khó khăn hơn.
Mã độc đã “cấy” vào các tập tin JavaScript tại website sẽ tải tập tin JavaScript khác từ bên ngoài khi nó phát hiện chuyển động con trỏ chuột. Mục đích của việc phát hiện chuyển động trỏ chuột này nhằm loại trừ các công cụ quét kiểm tra địa chỉ URL được các hãng bảo mật và các bộ máy tìm kiếm sử dụng để phát hiện trang web nhiễm mã độc, malware.
Đây là kỹ thuật đơn giản, nhưng cho thấy tội phạm mạng đang tìm cách để chủ động hơn trong việc phân biệt các thao tác của người dùng và các chương trình tự động. Các chuyên gia bảo mật ESET cho rằng đây là quá trình tiến hóa tự nhiên của kiểu tấn công drive-by download, mã độc sử dụng công nghệ chủ động phát hiện các thao tác thật sự của người dùng và loại bỏ các hệ thống truy tìm malware.
Khi phát hiện chuyển động trỏ chuột, mã độc sẽ tải tập tin JavaScript khác từ bên ngoài vào khung nội dung của trang HTML, sau đó tải mã tấn công từ công cụ khai thác lỗ hổng Nuclear Pack. Tương tự các công cụ tấn công drive-by download, Nuclear Pack sẽ khai thác các lỗ hổng thực thi mã từ xa trên các phiên bản plug-in trình duyệt chưa vá lỗi như Java, Adobe Reader hay Flash Player, để từ đó lây nhiễm malware vào máy tính người dùng.