Sự gia tăng đột biến của spam casino trực tuyến đang làm thay đổi các góc khuất của internet, với các tác nhân đe dọa ngày càng tấn công mạng các trang web để nhúng các liên kết độc hại nhằm thúc đẩy SEO. Chiến thuật này nhằm quảng bá các trang cờ bạc trực tuyến bằng cách chiếm đoạt uy tín của các trang web hợp pháp, gây ra rủi ro bảo mật nghiêm trọng cho chủ sở hữu trang web và người dùng không nghi ngờ.

Diễn Biến của Các Cuộc Tấn Công Mạng Spam Blackhat SEO

Lịch sử cho thấy, các chiến dịch spam blackhat SEO thường nhắm mục tiêu vào các ngành như dược phẩm, dịch vụ viết luận và hàng giả cao cấp. Mục tiêu chính luôn là thao túng các công cụ tìm kiếm và chuyển hướng lưu lượng truy cập từ các trang web hợp pháp sang các trang có chất lượng thấp nhưng mang lại lợi nhuận cao.

Tuy nhiên, trong vài năm gần đây, sự phổ biến của spam casino trực tuyến đã tăng vọt đáng kể. Hiện tượng này thậm chí đã vượt qua các loại hình spam cũ hơn như spam SEO tiếng Nhật.

Sự Gia Tăng Đột Biến Của Spam Casino Trực Tuyến

Một phân tích từ các công cụ quét mã độc như SiteCheck đã minh họa rõ ràng quy mô của xu hướng này. Theo dữ liệu phát hiện, số lượng các trường hợp spam cờ bạc và casino trực tuyến đã tăng mạnh mẽ kể từ năm 2021. Tham khảo chi tiết tại Sucuri blog.

Mặc dù những con số này chỉ đại diện cho một phần nhỏ so với thực tế (do một số lây nhiễm có thể né tránh các phương pháp phát hiện xâm nhập dựa trên chữ ký), quỹ đạo tăng trưởng là không thể phủ nhận. Xu hướng này song hành cùng sự gia tăng toàn cầu của cờ bạc trực tuyến.

Lợi nhuận từ các casino trực tuyến là khổng lồ. Khác với các cơ sở kinh doanh vật lý, casino trực tuyến có thể tiếp cận đối tượng khách hàng toàn cầu mà không bị giới hạn về không gian hay địa lý.

Trong thời kỳ đại dịch COVID-19, nhiều trang web này đã trở thành nguồn giải trí mặc định, thúc đẩy sự phổ biến và biến chúng thành mục tiêu hàng đầu cho những kẻ phát tán spam đang tìm kiếm thị phần trong thị trường béo bở này.

Kỹ Thuật Xâm Nhập và Cơ Chế Duy Trì Quyền Kiểm Soát

Khi các nhà bảo mật đã có những biện pháp cứng rắn hơn với spam viết luận (mà phần lớn đã trở nên lỗi thời nhờ các công cụ viết dựa trên AI), những kẻ phát tán spam đã nhanh chóng chuyển hướng. Các trang casino đã trở thành “nguồn tiền” mới của chúng, thúc đẩy các chiến dịch tấn công mạng bằng nhiều kỹ thuật tương tự trước đây, nhưng với những biến thể mới quan trọng.

Hầu hết các trang web bị lây nhiễm được xây dựng trên nền tảng WordPress. Nền tảng này thường xuyên là mục tiêu do sự phổ biến rộng rãi và hệ sinh thái plugin đa dạng của nó.

Chiến Thuật Giả Mạo Đường Dẫn và Tiêm Nhiễm Nội Dung

Một chiến thuật quan trọng là chiếm đoạt các trang có lưu lượng truy cập cao hiện có. Kẻ tấn công tạo các thư mục bắt chước đường dẫn hợp lệ (ví dụ: /about/index.html), sau đó điền vào đó nội dung spam và các liên kết ngược độc hại.

Theo quan sát, nội dung được tải từ miền browsec[.]xyz chính là loại spam “Slot Gacor” này.

Do các máy chủ web như Apache và Nginx ưu tiên giải quyết các tệp vật lý trước hệ thống định tuyến của WordPress, nội dung spam có thể thay thế các trang hợp pháp. Tình trạng này kéo dài cho đến khi các hoạt động tấn công mạng bị phát hiện xâm nhập và loại bỏ một cách triệt để.

Mã Độc PHP và Cơ Chế Duy Trì Tính Bền Vững

Các phát hiện gần đây cho thấy sự gia tăng về mức độ tinh vi và khả năng phục hồi của các cuộc tấn công mạng. Kẻ tấn công tiêm mã PHP độc hại vào nhiều vị trí, chẳng hạn như tệp chủ đề và tệp plugin.

Mã độc này kiểm tra các dấu hiệu cụ thể trong cơ sở dữ liệu WordPress (ví dụ: wp_footers_logic) hoặc trong các tệp kín đáo với phần mở rộng bất thường (ví dụ: style.dat trong thư mục cache).

Nếu bị xóa, mã có khả năng tự sao chép và lây nhiễm lại trang web. Điều này được thực hiện thông qua việc sử dụng các payload dự phòng hoặc bằng cách tìm nạp nội dung được đặt trên các miền bên ngoài do kẻ tấn công kiểm soát.

Các chiến thuật này được thiết kế rõ ràng để tồn tại sau các bước loại bỏ thông thường. Việc chỉ xóa các thư mục bị nhiễm hoặc chạy quét nhanh dựa trên chữ ký thường không đủ để ngăn chặn các cuộc tấn công mạng này.

Việc sử dụng thông minh các tùy chọn cơ sở dữ liệu, phần mở rộng tệp không thông thường và các cơ chế dự phòng đảm bảo tính dai dẳng, đồng thời làm phức tạp các nỗ lực dọn dẹp và khắc phục sự cố.

Chỉ Số Lây Nhiễm (Indicators of Compromise – IOCs)

• Tên miền (Domain):browsec[.]xyz

Mục Tiêu Địa Lý, Rủi Ro và Biện Pháp Phòng Ngừa

Trong khi spam dược phẩm và viết luận truyền thống nhắm mục tiêu vào các khu vực nói tiếng Anh, spam casino trực tuyến lại đặc biệt thích nghi nội dung cho các thị trường mới. Đặc biệt là Indonesia, Thái Lan và Thổ Nhĩ Kỳ, nơi luật cờ bạc cực kỳ nghiêm ngặt nhưng nhu cầu vẫn ở mức cao.

Những kẻ phát tán spam tạo nội dung cụ thể theo từng khu vực và tận dụng xu hướng tìm kiếm địa phương để tối đa hóa tỷ lệ nhấp chuột, tăng hiệu quả của chiến dịch tấn công mạng.

Đối với chủ sở hữu trang web, rủi ro bảo mật là kép: mất uy tín khi khách truy cập hoặc Google phát hiện spam, và tăng nguy cơ bị đưa vào danh sách đen hoặc mất lưu lượng truy cập.

Đối với người dùng, các liên kết ngược ẩn và nội dung che đậy có thể dẫn đến các trang lừa đảo (phishing), phát tán mã độc, hoặc các hoạt động cờ bạc trực tuyến mà bản thân chúng có thể thực hiện hành vi gian lận.

Sự cảnh giác liên tục, triển khai các biện pháp bảo mật chủ động và quét mã độc toàn diện là những yếu tố thiết yếu. Chủ sở hữu trang web nên thường xuyên đảm bảo hệ thống của mình được bảo vệ bằng các bản vá bảo mật mới nhất và triển khai các hệ thống phát hiện xâm nhập mạnh mẽ để chống lại các loại hình tấn công mạng này.