Nhà quảng cáo độc hại sử dụng quảng cáo Google để nhắm mục tiêu người dùng đang tìm kiếm phần mềm phổ biến

Một chiến dịch quảng cáo độc hại đã xuất hiện, chúng tận dụng Google Ads để hướng người dùng đang tìm kiếm phần mềm phổ biến đến các trang đích hư cấu và phân phối tải trọng ở giai đoạn tiếp theo.

Cuộc tấn công nhằm vào những người dùng đang tìm kiếm các trình chuyển đổi Notepad++ và PDF để phân phát các quảng cáo không có thật trên trang kết quả tìm kiếm của Google. Khi được nhấp vào, chúng sẽ lọc ra các bot và các địa chỉ IP không mong muốn khác bằng cách hiển thị một trang web giả mạo.

Nếu khách truy cập được cho là quan tâm đến tác nhân đe dọa, nạn nhân sẽ được chuyển hướng đến một trang web bản sao quảng cáo phần mềm, đồng thời âm thầm lấy dấu vân tay của hệ thống để xác định xem yêu cầu có xuất phát từ máy ảo hay không.

Người dùng không kiểm tra được sẽ được đưa đến trang web Notepad++ hợp pháp, trong khi mục tiêu tiềm năng được chỉ định một ID duy nhất cho "mục đích theo dõi nhưng cũng để làm cho mỗi lần tải xuống trở nên duy nhất và nhạy cảm với thời gian".

Phần mềm độc hại giai đoạn cuối là tải trọng HTA thiết lập kết nối đến một miền từ xa ("mybigeye[.]icu") trên một cổng tùy chỉnh và phục vụ phần mềm độc hại tiếp theo.

Jérôme Segura, giám đốc tình báo về mối đe dọa, cho biết: “Những kẻ đe dọa đang áp dụng thành công các kỹ thuật trốn tránh, bỏ qua việc kiểm tra xác minh quảng cáo và cho phép chúng nhắm mục tiêu vào một số loại nạn nhân nhất định”.

"Với chuỗi phân phối phần mềm độc hại đáng tin cậy trong tay, những kẻ độc hại có thể tập trung vào việc cải thiện các trang mồi nhử của chúng và tạo ra các tải trọng phần mềm độc hại tùy chỉnh."

Tiết lộ này trùng lặp với một chiến dịch tương tự nhắm mục tiêu vào người dùng đang tìm kiếm trình quản lý mật khẩu KeePass bằng các quảng cáo độc hại hướng nạn nhân đến một miền sử dụng Punycode (keepass[.]info so với ķeepass[.]info ), một mã hóa đặc biệt dùng để chuyển đổi các ký tự Unicode sang ASCII.

Segura lưu ý: “Những người nhấp vào quảng cáo sẽ được chuyển hướng qua dịch vụ che giấu nhằm lọc hộp cát, bot và bất kỳ ai không được coi là nạn nhân thực sự”. “Các tác nhân đe dọa đã thiết lập một miền tạm thời tại trang keepasstacking[.]để thực hiện chuyển hướng có điều kiện đến đích cuối cùng.”

Người dùng truy cập trang web mồi nhử bị lừa tải xuống trình cài đặt độc hại, cuối cùng dẫn đến việc thực thi FakeBat (còn gọi là EugenLoader), một trình tải được thiết kế để tải xuống mã độc hại khác.

Việc lạm dụng Punycode không hoàn toàn mới, nhưng việc kết hợp nó với Google Ads lừa đảo là dấu hiệu cho thấy việc quảng cáo độc hại thông qua các công cụ tìm kiếm ngày càng tinh vi hơn. Bằng cách sử dụng Punycode để đăng ký các tên miền tương tự như một trang web hợp pháp, mục tiêu là thực hiện một cuộc tấn công đồng âm và dụ nạn nhân cài đặt phần mềm độc hại.

Segura cho biết: “Mặc dù Punycode với các tên miền quốc tế hóa đã được những kẻ đe dọa sử dụng trong nhiều năm để tấn công nạn nhân lừa đảo, nhưng nó cho thấy nó vẫn hiệu quả như thế nào trong bối cảnh mạo danh thương hiệu thông qua quảng cáo độc hại”.

Nói về thủ thuật đánh lừa thị giác, nhiều kẻ đe dọa – TA569 (còn gọi là SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake và EtherHiding – đã được quan sát thấy đang lợi dụng các chủ đề liên quan đến cập nhật trình duyệt giả mạo để tuyên truyền Cobalt Strike, trình tải, kẻ đánh cắp và trojan truy cập từ xa, một dấu hiệu cho thấy những cuộc tấn công này là mối đe dọa thường xuyên và ngày càng gia tăng.

Nhà nghiên cứu Dusty Miller cho biết trong một phân tích được công bố trong tuần này: “Các bản cập nhật trình duyệt giả mạo lạm dụng lòng tin của người dùng cuối với các trang web bị xâm nhập và dụ dỗ được tùy chỉnh cho trình duyệt của người dùng để hợp pháp hóa bản cập nhật và đánh lừa người dùng nhấp vào”.

“Mối đe dọa chỉ tồn tại trong trình duyệt và có thể được bắt đầu bằng một cú nhấp chuột từ một email hợp pháp và được mong đợi, trang mạng xã hội, truy vấn của công cụ tìm kiếm hoặc thậm chí chỉ cần điều hướng đến trang web bị xâm nhập.”

Hương – Theo TheHackerNews