Quảng cáo Google Ads bị lợi dụng để phát tán mã độc từ các phần mềm hợp pháp

www.tuoitre.vn -   30/12/2022 12:00:00 608

Có một xu hướng nguy hiểm đang được cộng đồng tin tặc toàn cầu triển khai, đó là lạm dụng nền tảng Google Ads để phát tán mã độc hại đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các sản phẩm phần mềm phổ biến.

Google Ads bị lợi dụng để phát tán mã độc từ các phần mềm hợp pháp

Không khó để kể tên một số sản phẩm phần mềm phổ biến, thuộc nhiều lĩnh vực khác nhau đang bị hacker làm dụng để phát tán mã độc qua Google Ads. Đơn cử như các trường hợp của Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird hay Brave… Tác nhân đe dọa sẽ sao chép các trang web chính thức của những dự án phần mềm trên, và phân phối nhiều phiên bản trojan khác nhau của phần mềm khi người dùng nhấp vào nút tải xuống.

Một số phần mềm độc hại đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo cách này bao gồm một số biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID. Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng cổng MSI Afterburner giả để lây nhiễm cho người dùng bằng trình đánh cắp RedLine.

Câu hỏi đặt ra là tin tặc quảng bá cũng như thu hút người dùng truy cập các trang web giả mạo mà chúng tạo ra như thế nào? Đó là thông qua các chiến dịch quảng cáo Google Ad.

Lạm dụng quảng cáo Google Ads cài cắm mã độc

Nền tảng Google Ads giúp các nhà quảng cáo quảng bá website của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường là nằm trên trang web chính thức của sản phẩm/dự án.

Điều này có nghĩa là nếu bạn tìm kiếm phần mềm hợp pháp trên trình duyệt không có trình chặn quảng cáo, bạn sẽ thấy quảng cáo liên quan đến phần mềm trước tiên, và hoàn toàn có khả năng nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.

Nếu Google phát hiện ra trang đích độc hại được được quảng cáo, chắc chắn nó sẽ bị chặn và quảng cáo bị xóa ngay lập tức. Vì vậy, những kẻ đe dọa cần sử dụng một thủ thuật nhỏ để vượt qua hàng rào kiểm tra tự động của Google.

Mánh khóe là lừa các nạn nhân nhấp vào quảng cáo đến một trang web không liên quan nhưng “lành tính” do tác nhân đe dọa tạo ra, sau đó chuyển hướng họ đến một trang web độc hại mạo danh dự án phần mềm và từ đó đến tải trọng độc hại.

Google Ads bị lợi dụng để phát tán mã độc từ các phần mềm hợp pháp

Tải trọng độc hại, ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ mã và chia sẻ tệp uy tín như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng mọi chương trình chống virus đang chạy trên hệ thống của nạn nhân sẽ không đưa ra bất cứ cảnh báo phản đối yêu cầu download tệp. Trong một chiến dịch điển hình được quan sát vào tháng 11, tin tặc đã dụ dỗ người dùng bằng phiên bản trojan của Grammarly mang đến Raccoon Stealer.

Với việc phần mềm độc hại được đóng gói cùng với phần mềm hợp pháp. Người dùng sẽ vẫn nhận được những gì họ cần, nhưng song song với đó mã độc cũng sẽ âm thầm cài đặt trên hệ thống.

Biện pháp phòng tránh

Một phương án đơn giản nhưng hiệu quả để chặn các chiến dịch độc hại kiểu này là kích hoạt trình chặn quảng cáo trên trình duyệt web của bạn. Trình chặn quảng cáo này sẽ lọc ra các kết quả được quảng cáo từ Google Tìm kiếm, giúp bạn không phải giáp mặt với chúng.

Một biện pháp phòng ngừa khác là cuộn xuống cho đến khi bạn thấy tên miền chính thức của dự án phần mềm mà mình đang tìm kiếm. Nếu không chắc chắn, bạn có thể thực hiện thêm một vài truy vấn tìm kiếm liên quan. Tên miền chính thức được liệt kê trên trang Wikipedia của phần mềm.

Nếu bạn thường xuyên truy cập trang web của một dự án phần mềm cụ thể để tìm nguồn cập nhật, thì tốt hơn hết bạn nên bookmark URL và sử dụng URL đó để truy cập trực tiếp khi cần.

Một dấu hiệu phổ biến cho thấy trình cài đặt bạn sắp tải xuống có thể chứa mã độc hại là kích thước tệp bất thường. Đây cũng là điều bạn nên để ý.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Người dùng Việt Nam đã có thể dùng VPN k...

11/09/2023 08:00:00 74
Trước đây, người dùng phải sử dụng VPN thông qua nhiều phần mềm khác nhau, bất kể tính hợp lệ hay an...

Kaspersky: Cyber Immunity là chìa khóa b...

30/08/2023 08:00:00 570
Tuần lễ An ninh mạng lần thứ 9 của Kaspersky tiết lộ cách AI sẽ “phá vỡ” thế giới và làm thế nào để ...

Lướt web an toàn, Google hiện đã mặc địn...

30/08/2023 12:00:00 885
Nó cũng giúp các gia đình dễ dàng truy cập quyền kiểm soát của phụ huynh trực tiếp từ giao diện tìm ...

Lỗ hổng WinRAR mới có thể cho phép tin t...

29/08/2023 08:00:00 735
Một lỗ hổng bảo mật có mức độ nghiêm trọng cao đã được tiết lộ trong tiện ích WinRAR. Lỗ hổng này có...

Tin tặc hack 2 kính viễn vọng hiện đại n...

29/08/2023 12:00:00 526
Hiện các cơ quan có thẩm quyền và các bên liên quan vẫn chưa rõ nguồn gốc và bản chất của các cuộc t...

Microsoft đẩy mạnh cập nhật phiên bản 23...

28/08/2023 12:00:00 545
Microsoft cho biết bản vá October 2023 Patch Tuesday sẽ là bản cập nhật bảo mật cuối cùng cho 21H2.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ