Mã độc trá hình ẩn trong các phần mềm hợp pháp bị phát tán qua Google Ads

www.tuoitre.vn -   02/01/2023 12:00:00 188

Có một xu hướng nguy hiểm đang được cộng đồng tin tặc toàn cầu triển khai, đó là lạm dụng nền tảng Google Ads để phát tán mã độc hại đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các sản phẩm phần mềm phổ biến.

Mã độc trá hình ẩn trong các phần mềm hợp pháp bị phát tán qua Google Ads

Không khó để kể tên một số sản phẩm phần mềm phổ biến, thuộc nhiều lĩnh vực khác nhau đang bị hacker làm dụng để phát tán mã độc qua Google Ads. Đơn cử như các trường hợp của Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird hay Brave… Tác nhân đe dọa sẽ sao chép các trang web chính thức của những dự án phần mềm trên, và phân phối nhiều phiên bản trojan khác nhau của phần mềm khi người dùng nhấp vào nút tải xuống.

Một số phần mềm độc hại đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo cách này bao gồm một số biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID. Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng cổng MSI Afterburner giả để lây nhiễm cho người dùng bằng trình đánh cắp RedLine.

Câu hỏi đặt ra là tin tặc quảng bá cũng như thu hút người dùng truy cập các trang web giả mạo mà chúng tạo ra như thế nào? Đó là thông qua các chiến dịch quảng cáo Google Ad.

Nền tảng Google Ads giúp các nhà quảng cáo quảng bá website của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường là nằm trên trang web chính thức của sản phẩm/dự án.

Điều này có nghĩa là nếu bạn tìm kiếm phần mềm hợp pháp trên trình duyệt không có trình chặn quảng cáo, bạn sẽ thấy quảng cáo liên quan đến phần mềm trước tiên, và hoàn toàn có khả năng nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.

Nếu Google phát hiện ra trang đích độc hại được được quảng cáo, chắc chắn nó sẽ bị chặn và quảng cáo bị xóa ngay lập tức. Vì vậy, những kẻ đe dọa cần sử dụng một thủ thuật nhỏ để vượt qua hàng rào kiểm tra tự động của Google.

Mã độc trá hình ẩn trong các phần mềm hợp pháp bị phát tán qua Google Ads

Mánh khóe là lừa các nạn nhân nhấp vào quảng cáo đến một trang web không liên quan nhưng “lành tính” do tác nhân đe dọa tạo ra, sau đó chuyển hướng họ đến một trang web độc hại mạo danh dự án phần mềm và từ đó đến tải trọng độc hại.

Tải trọng độc hại, ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ mã và chia sẻ tệp uy tín như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng mọi chương trình chống virus đang chạy trên hệ thống của nạn nhân sẽ không đưa ra bất cứ cảnh báo phản đối yêu cầu download tệp. Trong một chiến dịch điển hình được quan sát vào tháng 11, tin tặc đã dụ dỗ người dùng bằng phiên bản trojan của Grammarly mang đến Raccoon Stealer.

Với việc phần mềm độc hại được đóng gói cùng với phần mềm hợp pháp. Người dùng sẽ vẫn nhận được những gì họ cần, nhưng song song với đó mã độc cũng sẽ âm thầm cài đặt trên hệ thống.

Làm thế nào để phòng tránh bị lây nhiễm mã độc từ Google Ads?

Một phương án đơn giản nhưng hiệu quả để chặn các chiến dịch độc hại kiểu này là kích hoạt trình chặn quảng cáo trên trình duyệt web của bạn. Trình chặn quảng cáo này sẽ lọc ra các kết quả được quảng cáo từ Google Tìm kiếm, giúp bạn không phải giáp mặt với chúng. Hoặc cài đặt các phần mềm bảo mật để ngăn chặn mối đe dọa tiềm ẩn ngay từ ban đầu.

Một biện pháp phòng ngừa khác là cuộn xuống cho đến khi bạn thấy tên miền chính thức của dự án phần mềm mà mình đang tìm kiếm. Nếu không chắc chắn, bạn có thể thực hiện thêm một vài truy vấn tìm kiếm liên quan. Tên miền chính thức được liệt kê trên trang Wikipedia của phần mềm.

Nếu bạn thường xuyên truy cập trang web của một dự án phần mềm cụ thể để tìm nguồn cập nhật, thì tốt hơn hết bạn nên bookmark URL và sử dụng URL đó để truy cập trực tiếp khi cần.

Một dấu hiệu phổ biến cho thấy trình cài đặt bạn sắp tải xuống có thể chứa mã độc hại là kích thước tệp bất thường. Đây cũng là điều bạn nên để ý.

Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Lỗ hổng mới trong Plugin WordPress được ...

24/05/2023 08:00:00 57
Một lỗ hổng bảo mật đã được tiết lộ trong plugin WordPress phổ biến Essential Addons cho Elementor c...

Apple ngăn chặn 2 tỷ đô la gian lận trên...

23/05/2023 08:00:00 67
Apple đã thông báo rằng họ đã ngăn chặn hơn 2 tỷ đô la trong các giao dịch có khả năng gian lận và t...

Cảnh báo! Thiết bị Samsung đang bị tấn c...

22/05/2023 08:00:00 73
Cảnh báo! Thiết bị Samsung đang bị tấn cong bởi một lỗ hổng bảo mật mới bị lộ

WebKit bị tấn công: Apple phát hành các ...

19/05/2023 08:00:00 84
Apple hôm thứ Năm đã tung ra các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và trình...

Cập nhật Windows ngay! Bản vá tháng 5 củ...

18/05/2023 09:00:00 81
Microsoft đã tung ra các bản cập nhật Bản vá Thứ Ba cho tháng 5 năm 2023 để giải quyết 38 lỗi bảo mậ...

Kaspersky ngăn chặn gần 50 triệu sự cố n...

17/05/2023 08:00:00 78
Số liệu mới nhất từ công ty an ninh mạng toàn cầu Kaspersky cho thấy đã có 49.042.966 mối đe dọa ngo...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ