Mạng lưới các trang web cờ bạc giả mạo bị lợi dụng trong cuộc tấn công chuỗi cung ứng Polyfill quy mô lớn

Theo các nhà nghiên cứu bảo mật, một trong những cuộc tấn công chuỗi cung ứng kỹ thuật số lớn nhất trong năm 2024 đã được thực hiện bởi một công ty ít tên tuổi, chuyển hướng một lượng lớn người dùng internet đến một mạng lưới các trang web cờ bạc nhái.

Đầu năm nay, một công ty có tên FUNNULL đã mua Polyfill.io, một tên miền lưu trữ thư viện JavaScript nguồn mở. Sau khi kiểm soát tên miền này, FUNNULL đã lợi dụng quyền truy cập vào Polyfill.io để thực hiện một cuộc tấn công chuỗi cung ứng, chiếm đoạt một dịch vụ hợp pháp và sử dụng nó để phát tán phần mềm độc hại tới hàng triệu trang web, đe dọa người dùng truy cập.

Vào thời điểm Polyfill.io bị kiểm soát, tác giả Polyfill ban đầu đã cảnh báo rằng ông chưa bao giờ sở hữu tên miền Polyfill.io và đề xuất các trang web xóa hoàn toàn mã Polyfill được lưu trữ để giảm thiểu rủi ro. Đồng thời, các nhà cung cấp mạng phân phối nội dung như Cloudflare và Fastly đã đưa ra các bản sao Polyfill.io riêng biệt để cung cấp một giải pháp thay thế an toàn hơn cho những trang web muốn tiếp tục sử dụng thư viện này.

Mạng lưới các trang web cờ bạc giả mạo bị lợi dụng trong cuộc tấn công chuỗi cung ứng Polyfill quy mô lớn

Mặc dù mục tiêu cụ thể của cuộc tấn công chuỗi cung ứng này vẫn chưa rõ ràng, nhưng Willem de Groot, người sáng lập Sansec đã chia sẻ trên X rằng đây có thể là một nỗ lực kiếm tiền "vô cùng tệ hại".

Hiện nay, các nhà nghiên cứu bảo mật từ Silent Push cho biết họ đã xác định được một mạng lưới gồm hàng nghìn trang web cờ bạc ở Trung Quốc và liên kết nó với FUNNULL, kẻ đã thực hiện cuộc tấn công chuỗi cung ứng Polyfill.io. Theo các báo cáo được chia sẻ với TechCrunch, FUNNULL đã tận dụng quyền truy cập vào Polyfill.io để phát tán phần mềm độc hại và chuyển hướng người dùng đến các trang web cờ bạc trực tuyến trong mạng lưới độc hại của mình. Cụ thể, gần 40.000 trang web giả mạo các thương hiệu cờ bạc và sòng bài trực tuyến, hầu hết trong số đó sử dụng tiếng Trung đã bị công ty Trung Quốc Funnull lợi dụng như một phần trong cuộc tấn công chuỗi cung ứng kỹ thuật số quy mô lớn liên quan đến tên miền lưu trữ thư viện JavaScript mã nguồn mở Polyfill.io.

Các cuộc tấn công của Funnull đã khai thác quyền truy cập vào Polyfill.io để phát tán mã độc và chuyển hướng người dùng đến các trang web giả mạo, bao gồm các cổng thông tin cờ bạc của Tập đoàn sòng bạc Sands và các nền tảng Bwin, Bet365, theo báo cáo từ các nhà nghiên cứu của Silent Push. Tất cả các trang web này đều được phát hiện đang được lưu trữ trên mạng phân phối nội dung của Funnull, được cho là tạo ra tại Mỹ nhưng lại cung cấp các địa chỉ văn phòng giả tại Mỹ, Canada, Singapore, Malaysia, Thụy Sĩ và Philippines.

Các chuyên gia cũng cho rằng Funnull đứng đầu một trong những đường dây cờ bạc trực tuyến lớn nhất, mặc dù công ty mẹ của Bwin là Entain đã phủ nhận sở hữu các tên miền giả mạo, các tổ chức khác liên quan đến chiến dịch tấn công chuỗi cung ứng này hiện vẫn chưa đưa ra phản hồi.

Trên trang thông tin cá nhân trên HUIDU, FUNNULL cho biết họ sở hữu hơn 30 trung tâm dữ liệu ở Trung Quốc và phòng máy chủ tự động bảo mật cao tại đây. Với quyền truy cập vào hàng triệu trang web, FUNNULL rất có thể đã thực hiện nhiều cuộc tấn công nguy hiểm hơn, như phần mềm tống tiền hay phần mềm gián điệp. Những cuộc tấn công chuỗi cung ứng như vậy ngày càng dễ xảy ra do sự phụ thuộc vào các công cụ bên thứ ba. Mặc dù lần này mục tiêu có vẻ là kiếm tiền từ các trang web spam, nhưng trong tương lai, nguy cơ có thể lớn hơn nhiều.