Nhà quảng cáo độc hại sử dụng quảng cáo Google để nhắm mục tiêu người dùng đang tìm kiếm phần mềm phổ biến

www.tuoitre.vn -   19/10/2023 08:00:00 154

Một chiến dịch quảng cáo độc hại đã xuất hiện, chúng tận dụng Google Ads để hướng người dùng đang tìm kiếm phần mềm phổ biến đến các trang đích hư cấu và phân phối tải trọng ở giai đoạn tiếp theo.

Nhà quảng cáo độc hại sử dụng quảng cáo Google để nhắm mục tiêu người dùng đang tìm kiếm phần mềm phổ biến

Cuộc tấn công nhằm vào những người dùng đang tìm kiếm các trình chuyển đổi Notepad++ và PDF để phân phát các quảng cáo không có thật trên trang kết quả tìm kiếm của Google. Khi được nhấp vào, chúng sẽ lọc ra các bot và các địa chỉ IP không mong muốn khác bằng cách hiển thị một trang web giả mạo.

Nếu khách truy cập được cho là quan tâm đến tác nhân đe dọa, nạn nhân sẽ được chuyển hướng đến một trang web bản sao quảng cáo phần mềm, đồng thời âm thầm lấy dấu vân tay của hệ thống để xác định xem yêu cầu có xuất phát từ máy ảo hay không.

Người dùng không kiểm tra được sẽ được đưa đến trang web Notepad++ hợp pháp, trong khi mục tiêu tiềm năng được chỉ định một ID duy nhất cho "mục đích theo dõi nhưng cũng để làm cho mỗi lần tải xuống trở nên duy nhất và nhạy cảm với thời gian".

Phần mềm độc hại giai đoạn cuối là tải trọng HTA thiết lập kết nối đến một miền từ xa ("mybigeye[.]icu") trên một cổng tùy chỉnh và phục vụ phần mềm độc hại tiếp theo.

Jérôme Segura, giám đốc tình báo về mối đe dọa, cho biết: “Những kẻ đe dọa đang áp dụng thành công các kỹ thuật trốn tránh, bỏ qua việc kiểm tra xác minh quảng cáo và cho phép chúng nhắm mục tiêu vào một số loại nạn nhân nhất định”.

"Với chuỗi phân phối phần mềm độc hại đáng tin cậy trong tay, những kẻ độc hại có thể tập trung vào việc cải thiện các trang mồi nhử của chúng và tạo ra các tải trọng phần mềm độc hại tùy chỉnh."

Tiết lộ này trùng lặp với một chiến dịch tương tự nhắm mục tiêu vào người dùng đang tìm kiếm trình quản lý mật khẩu KeePass bằng các quảng cáo độc hại hướng nạn nhân đến một miền sử dụng Punycode (keepass[.]info so với ķeepass[.]info ), một mã hóa đặc biệt dùng để chuyển đổi các ký tự Unicode sang ASCII.

Segura lưu ý: “Những người nhấp vào quảng cáo sẽ được chuyển hướng qua dịch vụ che giấu nhằm lọc hộp cát, bot và bất kỳ ai không được coi là nạn nhân thực sự”. “Các tác nhân đe dọa đã thiết lập một miền tạm thời tại trang keepasstacking[.]để thực hiện chuyển hướng có điều kiện đến đích cuối cùng.”

Người dùng truy cập trang web mồi nhử bị lừa tải xuống trình cài đặt độc hại, cuối cùng dẫn đến việc thực thi FakeBat (còn gọi là EugenLoader), một trình tải được thiết kế để tải xuống mã độc hại khác.

Việc lạm dụng Punycode không hoàn toàn mới, nhưng việc kết hợp nó với Google Ads lừa đảo là dấu hiệu cho thấy việc quảng cáo độc hại thông qua các công cụ tìm kiếm ngày càng tinh vi hơn. Bằng cách sử dụng Punycode để đăng ký các tên miền tương tự như một trang web hợp pháp, mục tiêu là thực hiện một cuộc tấn công đồng âm và dụ nạn nhân cài đặt phần mềm độc hại.

Segura cho biết: “Mặc dù Punycode với các tên miền quốc tế hóa đã được những kẻ đe dọa sử dụng trong nhiều năm để tấn công nạn nhân lừa đảo, nhưng nó cho thấy nó vẫn hiệu quả như thế nào trong bối cảnh mạo danh thương hiệu thông qua quảng cáo độc hại”.

Nói về thủ thuật đánh lừa thị giác, nhiều kẻ đe dọa – TA569 (còn gọi là SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake và EtherHiding – đã được quan sát thấy đang lợi dụng các chủ đề liên quan đến cập nhật trình duyệt giả mạo để tuyên truyền Cobalt Strike, trình tải, kẻ đánh cắp và trojan truy cập từ xa, một dấu hiệu cho thấy những cuộc tấn công này là mối đe dọa thường xuyên và ngày càng gia tăng.

Nhà nghiên cứu Dusty Miller cho biết trong một phân tích được công bố trong tuần này: “Các bản cập nhật trình duyệt giả mạo lạm dụng lòng tin của người dùng cuối với các trang web bị xâm nhập và dụ dỗ được tùy chỉnh cho trình duyệt của người dùng để hợp pháp hóa bản cập nhật và đánh lừa người dùng nhấp vào”.

“Mối đe dọa chỉ tồn tại trong trình duyệt và có thể được bắt đầu bằng một cú nhấp chuột từ một email hợp pháp và được mong đợi, trang mạng xã hội, truy vấn của công cụ tìm kiếm hoặc thậm chí chỉ cần điều hướng đến trang web bị xâm nhập.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 153
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 73
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 222
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 218
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 274
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 141
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

LIÊN HỆ

Thông tin liên hệ