Quảng cáo Google độc hại đẩy phần mềm quét IP giả với cửa sau ẩn

www.tuoitre.vn -   12/04/2024 08:00:00 90

Một chiến dịch quảng cáo độc hại mới của Google đang tận dụng một cụm tên miền bắt chước phần mềm quét IP hợp pháp để phát tán một cửa sau chưa từng được biết đến trước đây có tên là MadMxShell.

Quảng cáo Google độc hại đẩy phần mềm quét IP giả với cửa sau ẩn

Các nhà nghiên cứu bảo mật cho biết: “Tác nhân đe dọa đã đăng ký nhiều miền trông giống nhau bằng cách sử dụng kỹ thuật đánh máy và tận dụng Google Ads để đẩy các miền này lên đầu kết quả của công cụ tìm kiếm nhắm mục tiêu vào các từ khóa tìm kiếm cụ thể, từ đó thu hút nạn nhân truy cập các trang web này”. Singh nói.

Có tới 45 miền được cho là đã được đăng ký từ tháng 11 năm 2023 đến tháng 3 năm 2024, với các trang web giả mạo phần mềm quản lý CNTT và quét cổng như Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG và ManagedEngine.

Mặc dù đây không phải là lần đầu tiên các tác nhân đe dọa sử dụng các kỹ thuật quảng cáo độc hại để phát tán phần mềm độc hại thông qua các trang web tương tự, nhưng sự phát triển này đánh dấu lần đầu tiên phương tiện phân phối được sử dụng để phát tán một cửa hậu Windows tinh vi.

Do đó, những người dùng cuối cùng khi tìm kiếm những công cụ như vậy sẽ được hiển thị các trang web không có thật bao gồm mã JavaScript được thiết kế để tải xuống tệp độc hại ("Advanced-ip-scanner.zip") khi nhấp vào nút tải xuống.

Hiện diện trong kho lưu trữ ZIP là một tệp DLL ("IVIEWERS.dll") và một tệp thực thi ("Advanced-ip-scanner.exe"), tệp sau sử dụng tải bên DLL để tải DLL và kích hoạt chuỗi lây nhiễm.

Tệp DLL chịu trách nhiệm đưa shellcode nhúng vào quy trình "Advanced-ip-scanner.exe" thông qua một kỹ thuật được gọi là làm rỗng quy trình, sau đó tệp EXE được chèn sẽ giải nén hai tệp bổ sung – OneDrive.exe và Secur32.dll.

OneDrive.exe, một tệp nhị phân được ký hợp pháp của Microsoft, sau đó bị lạm dụng để tải Secur32.dll và cuối cùng thực thi cửa sau shellcode, nhưng không phải trước khi thiết lập tính bền vững trên máy chủ bằng tác vụ đã lên lịch và vô hiệu hóa Tính năng Chống Virut của Bộ bảo vệ Microsoft.

Cửa sau – được đặt tên theo việc sử dụng truy vấn DNS MX cho lệnh và điều khiển (C2) – được thiết kế để thu thập thông tin hệ thống, chạy lệnh qua cmd.exe và thực hiện các thao tác thao tác tệp cơ bản như đọc, viết và xóa các tập tin.

Nó gửi yêu cầu đến máy chủ C2 ("litterbolo[.]com") bằng cách mã hóa dữ liệu trong (các) tên miền phụ của Tên miền đủ điều kiện (FQDN) trong gói truy vấn trao đổi thư DNS (MX) và nhận các lệnh được mã hóa bên trong gói phản hồi.

Tay và Singh cho biết: “Cửa sau sử dụng các kỹ thuật như nhiều giai đoạn tải phụ DLL và đường hầm DNS để liên lạc bằng lệnh và điều khiển (C2) như một phương tiện để trốn tránh các giải pháp bảo mật mạng và điểm cuối tương ứng”.

Ngoài ra, cửa sau còn sử dụng các kỹ thuật lẩn tránh như chống bán phá giá để ngăn chặn việc phân tích bộ nhớ và cản trở các giải pháp bảo mật.

Hiện tại không có dấu hiệu nào cho thấy những kẻ điều hành phần mềm độc hại đến từ đâu hoặc ý định của chúng là gì, nhưng Zscaler cho biết họ đã xác định được hai tài khoản do chúng tạo trên các diễn đàn tội phạm ngầm như blackhatworld[.]com và social-eng[.]ru bằng cách sử dụng địa chỉ email wh8842480@gmail[.]com, cũng được sử dụng để đăng ký Máy quét IP nâng cao giả mạo tên miền.

Cụ thể, người ta phát hiện tác nhân đe dọa tham gia vào các bài đăng cung cấp cách thiết lập tài khoản ngưỡng Google AdSense không giới hạn từ tháng 6 năm 2023, cho thấy họ quan tâm đến việc khởi động chiến dịch quảng cáo độc hại kéo dài của riêng mình.

Các nhà nghiên cứu cho biết: “Các tài khoản ngưỡng Google Ads và các kỹ thuật lạm dụng chúng thường được giao dịch trên các diễn đàn BlackHat”. “Nhiều khi họ đưa ra cách để kẻ đe dọa bổ sung càng nhiều tín dụng càng tốt để chạy các chiến dịch Google Ads.”

"Điều này cho phép các tác nhân đe dọa chạy các chiến dịch mà không thực sự phải trả tiền cho đến giới hạn ngưỡng. Giới hạn ngưỡng cao hợp lý cho phép tác nhân đe dọa chạy chiến dịch quảng cáo trong một khoảng thời gian đáng kể."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 46
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 51
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 51
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 73
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 48
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 81
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ