.jpg)
Chiến dịch MasquerAds
Theo các nhà nghiên cứu của công ty an ninh mạng Guardio Labs, chiến dịch có tên gọi là “MasquerAds”, đồng thời cho biết “Vermux” được cho là nhóm tin tặc đứng đằng sau chiến dịch quảng cáo độc hại này, lưu ý rằng danh sách các chương trình và ứng dụng bị lạm dụng vẫn đang tiếp tục phát triển. Hoạt động của Vermux chủ yếu nhắm mục tiêu vào người dùng Canada và Mỹ.
Chiến dịch phát tán mã độc này nhắm đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các chương trình, ứng dụng phổ biến, ví dụ như Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird hay Brave,…
.png)
Cách thức hoạt động trong chiến dịch MasquerAds
Theo đó, tin tặc sẽ mua quảng cáo từ khóa để các trang web độc hại với vẻ ngoài đáng tin cậy xuất hiện trên đầu kết quả tìm kiếm của Google. Mục tiêu cuối cùng của các cuộc tấn công như vậy là đánh lừa người dùng tải xuống các chương trình độc hại hoặc các ứng dụng không mong muốn.
Các tin tặc sẽ sao chép các trang web chính thức của những ứng dụng trên và phân phối nhiều phiên bản trojan khác nhau khi người dùng nhấp vào nút tải xuống. Một số mã độc đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo kỹ thuật này, bao gồm một số biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID. Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng MSI Afterburner giả mạo để lây nhiễm cho người dùng bằng trình đánh cắp thông tin RedLine.
Lạm dụng quảng cáo Google Ads
Nền tảng Google Ads giúp các nhà quảng cáo quảng bá website của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường là nằm trên trang web chính thức của sản phẩm. Điều này có nghĩa là nếu người dùng đang tìm kiếm ứng dụng hợp pháp trên trình duyệt không có trình chặn quảng cáo, họ sẽ thấy quảng cáo liên quan đến ứng dụng đầu tiên, đồng thời có khả năng nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.
Nếu Google phát hiện ra trang đích độc hại được được quảng cáo, nó sẽ bị chặn và quảng cáo bị xóa ngay lập tức. Vì vậy, các tin tặc cần sử dụng một phương thức khác để vượt qua kỹ thuật kiểm tra tự động của Google.
Guardio Labs cho biết: “Các tin tặc đã tạo ra một mạng lưới các trang web được quảng bá trên công cụ tìm kiếm, khi người dùng nhấp vào thì họ sẽ được chuyển hướng đến một trang web lừa đảo chứa các tệp tin và payload độc hại (lưu trữ trên Dropbox hoặc OneDrive)”.
.png)
Một số trang web đích và lừa đảo được sử dụng trong các chiến dịch
Các payload độc hại ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ và chia sẻ tệp phổ biến như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng các chương trình anti-virus đang hoạt động trên hệ thống của người dùng sẽ không đưa ra bất cứ cảnh báo hay ngăn chặn nào đến với việc tải xuống.
Các nhà nghiên cứu tại Guardio Labs cho biết trong một chiến dịch điển hình được họ quan sát vào tháng 11/2022, tin tặc đã dụ dỗ người dùng bằng phiên bản trojan của Grammarly sử dụng mã độc Raccoon Stealer.
.png)
Luồng lây nhiễm của mã độc Raccoon Stealer
Đây không phải là lần đầu tiên nền tảng Google Ads được các tin tặc lạm dụng để phát tán mã độc. Tháng 11/2022, Microsoft đã tiết lộ một chiến dịch tấn công sử dụng dịch vụ quảng cáo để triển khai BATLOADER, sau đó được sử dụng để phát tán phần mềm tống tiền Royal.
Ngoài BATLOADER, tin tặc cũng đã sử dụng các kỹ thuật quảng cáo độc hại để phân phối mã độc IcedID thông qua các trang web giả mạo các ứng dụng nổi tiếng như Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird và TeamViewer. “IcedID là một dòng mã độc đáng chú ý có khả năng phân phối các payload khác, bao gồm cả Cobalt Strike. Mã độc này cho phép tin tặc thực hiện các cuộc tấn công theo dõi dẫn đến khả năng xâm phạm toàn bộ hệ thống, chẳng hạn như đánh cắp dữ liệu của người dùng”, Trend Micro cho biết.
Các phát hiện này cũng được đưa ra khi Cục Điều tra Liên bang Hoa Kỳ (FBI) cảnh báo rằng: “Tin tặc đang sử dụng các dịch vụ quảng cáo trên công cụ tìm kiếm để mạo danh thương hiệu và hướng người dùng đến các trang web độc hại lưu trữ mã độc tống tiền và đánh cắp thông tin đăng nhập cũng như thông tin tài chính khác”.
Biện pháp phòng tránh
Dấu hiệu phổ biến cho thấy trình cài đặt tải xuống có thể chứa mã độc hại là kích thước tệp bất thường. Đây cũng là điều người dùng nên chú ý.
Cách thức khá hiệu quả nhất để ngăn chặn các chiến dịch độc hại như thế này là kích hoạt trình chặn quảng cáo trên trình duyệt web của người dùng. Các trình chặn quảng cáo này sẽ lọc ra các kết quả được quảng cáo từ Google Search.
Bên cạnh đó, các chuyên gia bảo mật khuyến cáo nếu thường xuyên truy cập trang web của một phần mềm cụ thể để tìm nguồn cập nhật, thì người dùng nên đánh dấu bookmark URL để lưu trữ và sử dụng URL đó truy cập trực tiếp nếu cần.
Hồng Đạt
10:00 | 16/02/2023
10:00 | 26/12/2022
08:00 | 16/01/2023
16:00 | 03/02/2023
14:00 | 19/02/2024
10:00 | 22/12/2022
14:00 | 21/06/2023
10:00 | 15/12/2022
16:00 | 01/02/2023
14:00 | 23/06/2023
17:00 | 12/03/2025
Trong bối cảnh kinh tế toàn cầu biến động do xung đột địa chính trị và cạnh tranh gia tăng, doanh nghiệp không chỉ phải tăng trưởng mà còn phải phát triển bền vững, Đảng ủy Công ty Cổ phần Phân bón Dầu khí Cà Mau (PVCFC) giữ vai trò lãnh đạo, định hướng chiến lược, hài hòa phát triển kinh tế với trách nhiệm xã hội, củng cố vị thế vững chắc trong nước và khu vực.
14:00 | 28/02/2025
Theo Cục An toàn thông tin, Bộ Thông tin và Truyền thông, gần đây, nhiều người dùng điện thoại đã phản ánh về tình trạng thường xuyên nhận được cuộc gọi từ số lạ nhưng khi bắt máy thì không ai trả lời. Nguyên nhân có thể do lỗi kỹ thuật hoặc là hình thức tấn công cố tình thực hiện cuộc gọi không lời nhằm khơi gợi sự tò mò, khiến khách hàng gọi lại. Khi đó, cuộc gọi có thể bị tính phí viễn thông cao bất thường.
14:00 | 20/02/2025
Ngày 16/2, hãng công nghệ nổi tiếng Trung Quốc - Tencent cho biết, ứng dụng nhắn tin lớn nhất của nước này Weixin đang cho phép một số người dùng tìm kiếm thông qua mô hình trí tuệ nhân tạo của DeepSeek.
15:00 | 23/01/2025
Ngày 18/1, tại Hội nghị Tổng kết năm 2024 và Triển khai nhiệm vụ 2025 của Hiệp hội An ninh mạng Quốc gia, dưới sự chứng kiến của Đại tướng Lương Tam Quang, Ủy viên Bộ Chính trị, Bộ trưởng Bộ Công an, Chủ tịch Hiệp hội An ninh mạng Quốc gia, Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, Phó Chủ tịch Thường trực Hiệp hội đã công bố quyết định thành lập Liên minh ứng phó, khắc phục sự cố An ninh mạng Quốc gia.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngay sau kỳ nghỉ Tết 2025, Tổng công ty Điện lực miền Nam (EVNSPC) đã bắt tay vào công việc. Trên công trường các dự án đầu tư xây dựng lưới điện 110 kV, không khí làm việc luôn được tập trung cao độ với tinh thần làm việc xuyên ngày nghỉ.
14:00 | 14/03/2025
Đó là chủ đề của Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền được phát động lại Lễ ký Giao ước thi đua năm 2025 diễn ra tại Hà Nội, ngày 7/3. Đồng chí Lê Anh Tuấn, Thứ trưởng Bộ Ngoại giao đến dự và phát biểu tại Hội nghị.
12:00 | 08/03/2025
Hai năm sau sự xuất hiện của ChatGPT, mô hình trí tuệ nhân tạo (AI) DeepSeek của Trung Quốc đã ra mắt và mở ra cuộc đua phát triển AI giá rẻ trên toàn cầu.
09:00 | 07/03/2025
