Nhiều dịch vụ của Google, bao gồm cả tìm kiếm Google, cũng bị hạn chế hoặc bị kiểm duyệt rất gắt gao ở Trung Quốc đại lục. Thực tế cho thấy, nhiều người dùng tại quốc gia này đã cố gắng vượt qua những hạn chế đó bằng cách sử dụng nhiều công cụ khác nhau như VPN.
Các tác nhân đe dọa đang lạm dụng tài khoản Google Ads để tạo quảng cáo độc hại và điều hướng đến các trang mà người dùng không nghi ngờ để tải xuống Trojan quản trị từ xa (RAT). Các chương trình này cung cấp cho kẻ tấn công toàn quyền kiểm soát máy tính của nạn nhân và khả năng phát tán phần mềm độc hại bổ sung.
Không phải ngẫu nhiên mà các chiến dịch quảng cáo độc hại chủ yếu tập trung vào các ứng dụng bị hạn chế hoặc bị cấm. Các nhà nghiên cứu của Công ty an ninh mạng Malwarebytes (Ireland) cho biết, mặc dù chưa rõ ý định thực sự của các tác nhân đe dọa, nhưng việc thu thập dữ liệu và dò quét có thể là một trong những động cơ của chúng.
Chiến dịch quảng cáo độc hại
Người dùng truy cập vào địa chỉ google.cn sẽ được chuyển hướng đến google.com.hk, nơi các tìm kiếm được cho là không bị kiểm duyệt. Khi tra cứu từ khóa “telegram” và “LINE”, có thể nhận thấy kết quả tìm kiếm quảng cáo được hiển thị (Hình 1 và Hình 2).
Hình 1. Tìm kiếm Telegram
Hình 2. Tìm kiếm LINE
Nếu người dùng truy cập vào các kết quả quảng cáo tìm kiếm ở trên, sẽ hiển thị các dòng mô tả về các ứng dụng, trong đó có thông báo tải xuống ứng dụng phiên bản tiếng Trung của Telegram.
Các nhà nghiên cứu đã xác định được hai tài khoản Google Ads phía sau những quảng cáo này, cả hai đều được liên kết với hồ sơ người dùng ở Nigeria, bao gồm: Interactive Communication Team Limited và Ringier Media Nigeria Limited. Dựa trên số lượng quảng cáo cho mỗi tài khoản trên, các nhà nghiên cứu nhận định rằng chúng có thể đã bị các tác nhân đe dọa chiếm đoạt.
Cơ sở hạ tầng
Các tác nhân đe dọa này dường như dựa vào cơ sở hạ tầng của Google dưới dạng Google Docs hoặc Google Sites. Điều này cho phép kẻ tấn công có thể chèn liên kết để tải xuống hoặc thậm chí chuyển hướng đến các trang web khác mà chúng kiểm soát, nhằm phân phối các tệp trình cài đặt độc hại mà cuối cùng là triển khai các Trojan như PlugX và Gh0st RAT.
Hình 3. Quảng cáo dưới dạng Google Docs
Payload phần mềm độc hại
Các nhà nghiên cứu đã thu thập được một số payload từ chiến dịch này, tất cả đều ở định dạng MSI. Một trong số đó đã sử dụng kỹ thuật DLL side-loading, bao gồm việc kết hợp một ứng dụng hợp pháp với một DLL độc hại được tải tự động.
Hình 4. Tệp DLL độc hại
Trong Hình 4, tệp DLL được ký bằng chứng chỉ hiện đã bị thu hồi từ Sharp Brilliance Communication Technology Co., Ltd. Chứng chỉ này gần đây cũng được sử dụng để ký mẫu PlugX RAT (Phần mềm độc hại của tin tặc Trung Quốc cũng thực hiện kỹ thuật DLL side-loading). Trên thực tế, một số phần mềm độc hại trước đây đã được sử dụng trong các chiến dịch khác và là biến thể của Gh0st RAT.
Quảng cáo trực tuyến là một cách thức hiệu quả để tiếp cận một đối tượng nhất định và tất nhiên chúng cũng có thể bị lạm dụng. Những người dùng sống tại các quốc gia nơi các ứng dụng và nền tảng liên lạc bị cấm hoặc hạn chế sẽ cố gắng vượt qua các biện pháp này.
Sự phát triển này diễn ra khi nhóm nghiên cứu bảo mật SpiderLabs của công ty an ninh mạng Trustwave (Mỹ) tiết lộ sự gia tăng đột biến trong việc sử dụng nền tảng lừa đảo dưới dạng dịch vụ (PhaaS) có tên Greatness để tạo các trang thu thập thông tin xác thực có giao diện hợp pháp nhắm mục tiêu đến người dùng Microsoft 365.
Ngọc Ngân
(Tổng hợp)
10:00 | 27/03/2023
14:00 | 06/01/2023
17:00 | 12/04/2024
10:00 | 15/12/2022
18:00 | 02/12/2024
22:00 | 26/01/2025
Năm 2024 ghi dấu nhiều chuyển biến trong lĩnh vực bảo mật và an toàn thông tin tại Việt Nam. Dù đạt được những bước tiến trong việc củng cố hệ thống phòng thủ thì các tổ chức, doanh nghiệp vẫn phải đối mặt với thách thức từ các cuộc tấn công mạng ngày càng tinh vi. Tuy nhiên, với sự hợp tác chặt chẽ giữa các cơ quan, tổ chức và người dùng, cùng với những bài học kinh nghiệm quý báu sẽ là nền tảng cho các bước tiến đột phá về an ninh mạng năm 2025. Tạp chí An toàn thông tin kính mời quý vị điểm qua 10 sự kiện nổi bật định hình bức tranh an ninh mạng Việt Nam năm qua.
22:00 | 25/01/2025
Nhân dịp đón chào năm mới 2025, Trung tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ đã gửi thư chúc Tết tới toàn thể cán bộ, nhân viên, người lao động, gia đình các Anh hùng Liệt sĩ, các đồng chí thương binh, bệnh binh đã và đang công tác trong ngành Cơ yếu Việt Nam. Tạp chí An toàn thông tin trân trọng giới thiệu toàn văn thư chúc Tết của đồng chí Trưởng ban Ban Cơ yếu Chính phủ.
13:00 | 03/01/2025
Mới đây, Bộ Tài chính Mỹ đã thông báo hệ thống bảo mật của cơ quan này bị tin tặc tấn công và đánh cắp nhiều tài liệu quan trọng. Bộ Tài chính cho biết đây là một sự cố lớn và đã thông báo tới các cơ quan chức năng.
07:00 | 28/11/2024
Trong hai ngày 3 - 4/12 tới đây, tạI Học viện Kỹ thuật mật mã, Hội thảo khoa học quốc tế về mật mã và an toàn thông tin lần thứ nhất (VCRIS 2024) sẽ được tổ chức. Đây là một diễn đàn học thuật - một sự kiện quốc tế đầu tiên tại Việt Nam về lĩnh vực mật mã và an toàn thông tin.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025