Chiến dịch MasquerAds
Theo các nhà nghiên cứu của công ty an ninh mạng Guardio Labs, chiến dịch có tên gọi là “MasquerAds”, đồng thời cho biết “Vermux” được cho là nhóm tin tặc đứng đằng sau chiến dịch quảng cáo độc hại này, lưu ý rằng danh sách các chương trình và ứng dụng bị lạm dụng vẫn đang tiếp tục phát triển. Hoạt động của Vermux chủ yếu nhắm mục tiêu vào người dùng Canada và Mỹ.
Chiến dịch phát tán mã độc này nhắm đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các chương trình, ứng dụng phổ biến, ví dụ như Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird hay Brave,…
Cách thức hoạt động trong chiến dịch MasquerAds
Theo đó, tin tặc sẽ mua quảng cáo từ khóa để các trang web độc hại với vẻ ngoài đáng tin cậy xuất hiện trên đầu kết quả tìm kiếm của Google. Mục tiêu cuối cùng của các cuộc tấn công như vậy là đánh lừa người dùng tải xuống các chương trình độc hại hoặc các ứng dụng không mong muốn.
Các tin tặc sẽ sao chép các trang web chính thức của những ứng dụng trên và phân phối nhiều phiên bản trojan khác nhau khi người dùng nhấp vào nút tải xuống. Một số mã độc đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo kỹ thuật này, bao gồm một số biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID. Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng MSI Afterburner giả mạo để lây nhiễm cho người dùng bằng trình đánh cắp thông tin RedLine.
Lạm dụng quảng cáo Google Ads
Nền tảng Google Ads giúp các nhà quảng cáo quảng bá website của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường là nằm trên trang web chính thức của sản phẩm. Điều này có nghĩa là nếu người dùng đang tìm kiếm ứng dụng hợp pháp trên trình duyệt không có trình chặn quảng cáo, họ sẽ thấy quảng cáo liên quan đến ứng dụng đầu tiên, đồng thời có khả năng nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.
Nếu Google phát hiện ra trang đích độc hại được được quảng cáo, nó sẽ bị chặn và quảng cáo bị xóa ngay lập tức. Vì vậy, các tin tặc cần sử dụng một phương thức khác để vượt qua kỹ thuật kiểm tra tự động của Google.
Guardio Labs cho biết: “Các tin tặc đã tạo ra một mạng lưới các trang web được quảng bá trên công cụ tìm kiếm, khi người dùng nhấp vào thì họ sẽ được chuyển hướng đến một trang web lừa đảo chứa các tệp tin và payload độc hại (lưu trữ trên Dropbox hoặc OneDrive)”.
Một số trang web đích và lừa đảo được sử dụng trong các chiến dịch
Các payload độc hại ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ và chia sẻ tệp phổ biến như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng các chương trình anti-virus đang hoạt động trên hệ thống của người dùng sẽ không đưa ra bất cứ cảnh báo hay ngăn chặn nào đến với việc tải xuống.
Các nhà nghiên cứu tại Guardio Labs cho biết trong một chiến dịch điển hình được họ quan sát vào tháng 11/2022, tin tặc đã dụ dỗ người dùng bằng phiên bản trojan của Grammarly sử dụng mã độc Raccoon Stealer.
Luồng lây nhiễm của mã độc Raccoon Stealer
Đây không phải là lần đầu tiên nền tảng Google Ads được các tin tặc lạm dụng để phát tán mã độc. Tháng 11/2022, Microsoft đã tiết lộ một chiến dịch tấn công sử dụng dịch vụ quảng cáo để triển khai BATLOADER, sau đó được sử dụng để phát tán phần mềm tống tiền Royal.
Ngoài BATLOADER, tin tặc cũng đã sử dụng các kỹ thuật quảng cáo độc hại để phân phối mã độc IcedID thông qua các trang web giả mạo các ứng dụng nổi tiếng như Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird và TeamViewer. “IcedID là một dòng mã độc đáng chú ý có khả năng phân phối các payload khác, bao gồm cả Cobalt Strike. Mã độc này cho phép tin tặc thực hiện các cuộc tấn công theo dõi dẫn đến khả năng xâm phạm toàn bộ hệ thống, chẳng hạn như đánh cắp dữ liệu của người dùng”, Trend Micro cho biết.
Các phát hiện này cũng được đưa ra khi Cục Điều tra Liên bang Hoa Kỳ (FBI) cảnh báo rằng: “Tin tặc đang sử dụng các dịch vụ quảng cáo trên công cụ tìm kiếm để mạo danh thương hiệu và hướng người dùng đến các trang web độc hại lưu trữ mã độc tống tiền và đánh cắp thông tin đăng nhập cũng như thông tin tài chính khác”.
Biện pháp phòng tránh
Dấu hiệu phổ biến cho thấy trình cài đặt tải xuống có thể chứa mã độc hại là kích thước tệp bất thường. Đây cũng là điều người dùng nên chú ý.
Cách thức khá hiệu quả nhất để ngăn chặn các chiến dịch độc hại như thế này là kích hoạt trình chặn quảng cáo trên trình duyệt web của người dùng. Các trình chặn quảng cáo này sẽ lọc ra các kết quả được quảng cáo từ Google Search.
Bên cạnh đó, các chuyên gia bảo mật khuyến cáo nếu thường xuyên truy cập trang web của một phần mềm cụ thể để tìm nguồn cập nhật, thì người dùng nên đánh dấu bookmark URL để lưu trữ và sử dụng URL đó truy cập trực tiếp nếu cần.
Hồng Đạt
10:00 | 16/02/2023
10:00 | 26/12/2022
08:00 | 16/01/2023
16:00 | 03/02/2023
14:00 | 19/02/2024
10:00 | 22/12/2022
14:00 | 21/06/2023
10:00 | 15/12/2022
16:00 | 01/02/2023
14:00 | 23/06/2023
13:00 | 17/04/2024
Vào ngày 24/4 tới đây tại Hà Nội, Hiệp hội Blockchain Việt Nam phối hợp Viện công nghệ Blockchain và trí tuệ nhân tạo tổ chức Hội thảo Blockchain & AI: cuộc cách mạng tương lai. Hội thảo được tổ chức với mục tiêu tạo dựng diễn đàn đa phương để các cơ quan quản lý nhà nước, tổ chức xã hội nghề nghiệp, cá nhân, doanh nghiệp công nghệ pháp lý tài chính ngành Blockchain và trí tuệ nhân tạo (AI), Nhà cung cấp dịch vụ tài sản ảo (VASP) trong và ngoài nước có cơ hội đối thoại trực tiếp,
13:00 | 15/04/2024
Hội thảo quốc tế IEEE lần thứ nhất về mật mã và an toàn thông tin (VCRIS 2024) dự kiến sẽ được tổ chức trong 02 ngày 03-04/12/2024 tại Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ. Hội thảo nhằm mục đích tạo lập và phát triển môi trường trao đổi học thuật, thúc đẩy các hoạt động nghiên cứu khoa học cơ bản, khoa học ứng dụng về mật mã và an toàn thông tin tại Việt Nam và thế giới.
10:00 | 28/03/2024
Một công dân Trung Quốc và là cựu kỹ sư phần mềm Google đã bị truy tố vì bị cáo buộc đánh cắp các tập tin nhạy cảm và bí mật thương mại liên quan đến công nghệ AI của Google.
14:00 | 19/02/2024
Một chiến dịch quảng cáo độc hại đang diễn ra nhắm mục tiêu vào người dùng nói tiếng Trung Quốc bằng cách lợi dụng các nền tảng nhắn tin phổ biến như Telegram hoặc LINE, với mục đích phát tán phần mềm độc hại. Điều thú vị là ứng dụng Telegram bị hạn chế rất nhiều và trước đó đã bị cấm ở Trung Quốc.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
09:00 | 19/04/2024