Chiến dịch MasquerAds
Theo các nhà nghiên cứu của công ty an ninh mạng Guardio Labs, chiến dịch có tên gọi là “MasquerAds”, đồng thời cho biết “Vermux” được cho là nhóm tin tặc đứng đằng sau chiến dịch quảng cáo độc hại này, lưu ý rằng danh sách các chương trình và ứng dụng bị lạm dụng vẫn đang tiếp tục phát triển. Hoạt động của Vermux chủ yếu nhắm mục tiêu vào người dùng Canada và Mỹ.
Chiến dịch phát tán mã độc này nhắm đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các chương trình, ứng dụng phổ biến, ví dụ như Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird hay Brave,…
Cách thức hoạt động trong chiến dịch MasquerAds
Theo đó, tin tặc sẽ mua quảng cáo từ khóa để các trang web độc hại với vẻ ngoài đáng tin cậy xuất hiện trên đầu kết quả tìm kiếm của Google. Mục tiêu cuối cùng của các cuộc tấn công như vậy là đánh lừa người dùng tải xuống các chương trình độc hại hoặc các ứng dụng không mong muốn.
Các tin tặc sẽ sao chép các trang web chính thức của những ứng dụng trên và phân phối nhiều phiên bản trojan khác nhau khi người dùng nhấp vào nút tải xuống. Một số mã độc đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo kỹ thuật này, bao gồm một số biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID. Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng MSI Afterburner giả mạo để lây nhiễm cho người dùng bằng trình đánh cắp thông tin RedLine.
Lạm dụng quảng cáo Google Ads
Nền tảng Google Ads giúp các nhà quảng cáo quảng bá website của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường là nằm trên trang web chính thức của sản phẩm. Điều này có nghĩa là nếu người dùng đang tìm kiếm ứng dụng hợp pháp trên trình duyệt không có trình chặn quảng cáo, họ sẽ thấy quảng cáo liên quan đến ứng dụng đầu tiên, đồng thời có khả năng nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.
Nếu Google phát hiện ra trang đích độc hại được được quảng cáo, nó sẽ bị chặn và quảng cáo bị xóa ngay lập tức. Vì vậy, các tin tặc cần sử dụng một phương thức khác để vượt qua kỹ thuật kiểm tra tự động của Google.
Guardio Labs cho biết: “Các tin tặc đã tạo ra một mạng lưới các trang web được quảng bá trên công cụ tìm kiếm, khi người dùng nhấp vào thì họ sẽ được chuyển hướng đến một trang web lừa đảo chứa các tệp tin và payload độc hại (lưu trữ trên Dropbox hoặc OneDrive)”.
Một số trang web đích và lừa đảo được sử dụng trong các chiến dịch
Các payload độc hại ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ và chia sẻ tệp phổ biến như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng các chương trình anti-virus đang hoạt động trên hệ thống của người dùng sẽ không đưa ra bất cứ cảnh báo hay ngăn chặn nào đến với việc tải xuống.
Các nhà nghiên cứu tại Guardio Labs cho biết trong một chiến dịch điển hình được họ quan sát vào tháng 11/2022, tin tặc đã dụ dỗ người dùng bằng phiên bản trojan của Grammarly sử dụng mã độc Raccoon Stealer.
Luồng lây nhiễm của mã độc Raccoon Stealer
Đây không phải là lần đầu tiên nền tảng Google Ads được các tin tặc lạm dụng để phát tán mã độc. Tháng 11/2022, Microsoft đã tiết lộ một chiến dịch tấn công sử dụng dịch vụ quảng cáo để triển khai BATLOADER, sau đó được sử dụng để phát tán phần mềm tống tiền Royal.
Ngoài BATLOADER, tin tặc cũng đã sử dụng các kỹ thuật quảng cáo độc hại để phân phối mã độc IcedID thông qua các trang web giả mạo các ứng dụng nổi tiếng như Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird và TeamViewer. “IcedID là một dòng mã độc đáng chú ý có khả năng phân phối các payload khác, bao gồm cả Cobalt Strike. Mã độc này cho phép tin tặc thực hiện các cuộc tấn công theo dõi dẫn đến khả năng xâm phạm toàn bộ hệ thống, chẳng hạn như đánh cắp dữ liệu của người dùng”, Trend Micro cho biết.
Các phát hiện này cũng được đưa ra khi Cục Điều tra Liên bang Hoa Kỳ (FBI) cảnh báo rằng: “Tin tặc đang sử dụng các dịch vụ quảng cáo trên công cụ tìm kiếm để mạo danh thương hiệu và hướng người dùng đến các trang web độc hại lưu trữ mã độc tống tiền và đánh cắp thông tin đăng nhập cũng như thông tin tài chính khác”.
Biện pháp phòng tránh
Dấu hiệu phổ biến cho thấy trình cài đặt tải xuống có thể chứa mã độc hại là kích thước tệp bất thường. Đây cũng là điều người dùng nên chú ý.
Cách thức khá hiệu quả nhất để ngăn chặn các chiến dịch độc hại như thế này là kích hoạt trình chặn quảng cáo trên trình duyệt web của người dùng. Các trình chặn quảng cáo này sẽ lọc ra các kết quả được quảng cáo từ Google Search.
Bên cạnh đó, các chuyên gia bảo mật khuyến cáo nếu thường xuyên truy cập trang web của một phần mềm cụ thể để tìm nguồn cập nhật, thì người dùng nên đánh dấu bookmark URL để lưu trữ và sử dụng URL đó truy cập trực tiếp nếu cần.
Hồng Đạt
10:00 | 16/02/2023
10:00 | 26/12/2022
08:00 | 16/01/2023
16:00 | 03/02/2023
14:00 | 19/02/2024
10:00 | 22/12/2022
14:00 | 21/06/2023
10:00 | 15/12/2022
16:00 | 01/02/2023
14:00 | 23/06/2023
10:00 | 24/04/2024
Bên cạnh những số liệu khủng về giải thưởng, lỗ hổng được phát hiện, vẫn có những ý kiến trái chiều về hiệu quả thực sự mà Bug Bounty đem lại trong lĩnh vực an toàn thông tin. Tọa đàm “Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng” dự kiến sẽ được Tạp chí An toàn thông tin tổ chức vào ngày 26/4 sẽ giúp quý vị độc giả có thể hiểu rõ hơn về vấn đề này.
16:00 | 19/04/2024
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
14:00 | 22/02/2024
Ngày 15/02/2024, Chính phủ Mỹ cho biết đã phá vỡ và vô hiệu hóa một mạng lưới botnet bao gồm hàng trăm bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) tại quốc gia này, đang được các tin tặc APT28 sử dụng trong các chiến dịch phân phối phần mềm độc hại và hoạt động gián điệp mạng.
10:00 | 31/01/2024
Những kẻ tấn công đang sử dụng các video quảng cáo trên YouTube có nội dung liên quan đến phần mềm bẻ khóa để dụ dỗ người dùng tải xuống phần mềm độc hại đánh cắp thông tin có tên là Lumma Stealer.
Theo tờ Nikkei Asia, hiện tại Alibaba đang thuê máy chủ của nhà cung cấp dịch vụ viễn thông Viettel và VNPT. Từ năm 2022, Luật Bảo vệ dữ liệu cá nhân có hiệu lực, bắt buộc các công ty công nghệ nước ngoài phải lưu trữ dữ liệu ở trong nước. Nhằm đáp ứng quy định này, gã khổng lồ thương mại điện tử Trung Quốc Alibaba dự định sẽ xây dựng một trung tâm dữ liệu tại Việt Nam.
16:00 | 03/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Mới đây, Trung Quốc đã giới thiệu công cụ trí tuệ nhân tạo (AI) có khả năng chuyển văn bản thành video, tương tự ứng dụng gây sốt Sora của OpenAI.
10:00 | 07/05/2024