Quảng cáo Google độc hại đẩy phần mềm quét IP giả với cửa sau ẩn
Một chiến dịch quảng cáo độc hại mới của Google đang tận dụng một cụm tên miền bắt chước phần mềm quét IP hợp pháp để phát tán một cửa sau chưa từng được biết đến trước đây có tên là MadMxShell.
Các nhà nghiên cứu bảo mật cho biết: “Tác nhân đe dọa đã đăng ký nhiều miền trông giống nhau bằng cách sử dụng kỹ thuật đánh máy và tận dụng Google Ads để đẩy các miền này lên đầu kết quả của công cụ tìm kiếm nhắm mục tiêu vào các từ khóa tìm kiếm cụ thể, từ đó thu hút nạn nhân truy cập các trang web này”. Singh nói.
Có tới 45 miền được cho là đã được đăng ký từ tháng 11 năm 2023 đến tháng 3 năm 2024, với các trang web giả mạo phần mềm quản lý CNTT và quét cổng như Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG và ManagedEngine.
Mặc dù đây không phải là lần đầu tiên các tác nhân đe dọa sử dụng các kỹ thuật quảng cáo độc hại để phát tán phần mềm độc hại thông qua các trang web tương tự, nhưng sự phát triển này đánh dấu lần đầu tiên phương tiện phân phối được sử dụng để phát tán một cửa hậu Windows tinh vi.
Do đó, những người dùng cuối cùng khi tìm kiếm những công cụ như vậy sẽ được hiển thị các trang web không có thật bao gồm mã JavaScript được thiết kế để tải xuống tệp độc hại ("Advanced-ip-scanner.zip") khi nhấp vào nút tải xuống.
Hiện diện trong kho lưu trữ ZIP là một tệp DLL ("IVIEWERS.dll") và một tệp thực thi ("Advanced-ip-scanner.exe"), tệp sau sử dụng tải bên DLL để tải DLL và kích hoạt chuỗi lây nhiễm.
Tệp DLL chịu trách nhiệm đưa shellcode nhúng vào quy trình "Advanced-ip-scanner.exe" thông qua một kỹ thuật được gọi là làm rỗng quy trình, sau đó tệp EXE được chèn sẽ giải nén hai tệp bổ sung – OneDrive.exe và Secur32.dll.
OneDrive.exe, một tệp nhị phân được ký hợp pháp của Microsoft, sau đó bị lạm dụng để tải Secur32.dll và cuối cùng thực thi cửa sau shellcode, nhưng không phải trước khi thiết lập tính bền vững trên máy chủ bằng tác vụ đã lên lịch và vô hiệu hóa Tính năng Chống Virut của Bộ bảo vệ Microsoft.
Cửa sau – được đặt tên theo việc sử dụng truy vấn DNS MX cho lệnh và điều khiển (C2) – được thiết kế để thu thập thông tin hệ thống, chạy lệnh qua cmd.exe và thực hiện các thao tác thao tác tệp cơ bản như đọc, viết và xóa các tập tin.
Nó gửi yêu cầu đến máy chủ C2 ("litterbolo[.]com") bằng cách mã hóa dữ liệu trong (các) tên miền phụ của Tên miền đủ điều kiện (FQDN) trong gói truy vấn trao đổi thư DNS (MX) và nhận các lệnh được mã hóa bên trong gói phản hồi.
Tay và Singh cho biết: “Cửa sau sử dụng các kỹ thuật như nhiều giai đoạn tải phụ DLL và đường hầm DNS để liên lạc bằng lệnh và điều khiển (C2) như một phương tiện để trốn tránh các giải pháp bảo mật mạng và điểm cuối tương ứng”.
Ngoài ra, cửa sau còn sử dụng các kỹ thuật lẩn tránh như chống bán phá giá để ngăn chặn việc phân tích bộ nhớ và cản trở các giải pháp bảo mật.
Hiện tại không có dấu hiệu nào cho thấy những kẻ điều hành phần mềm độc hại đến từ đâu hoặc ý định của chúng là gì, nhưng Zscaler cho biết họ đã xác định được hai tài khoản do chúng tạo trên các diễn đàn tội phạm ngầm như blackhatworld[.]com và social-eng[.]ru bằng cách sử dụng địa chỉ email wh8842480@gmail[.]com, cũng được sử dụng để đăng ký Máy quét IP nâng cao giả mạo tên miền.
Cụ thể, người ta phát hiện tác nhân đe dọa tham gia vào các bài đăng cung cấp cách thiết lập tài khoản ngưỡng Google AdSense không giới hạn từ tháng 6 năm 2023, cho thấy họ quan tâm đến việc khởi động chiến dịch quảng cáo độc hại kéo dài của riêng mình.
Các nhà nghiên cứu cho biết: “Các tài khoản ngưỡng Google Ads và các kỹ thuật lạm dụng chúng thường được giao dịch trên các diễn đàn BlackHat”. “Nhiều khi họ đưa ra cách để kẻ đe dọa bổ sung càng nhiều tín dụng càng tốt để chạy các chiến dịch Google Ads.”
"Điều này cho phép các tác nhân đe dọa chạy các chiến dịch mà không thực sự phải trả tiền cho đến giới hạn ngưỡng. Giới hạn ngưỡng cao hợp lý cho phép tác nhân đe dọa chạy chiến dịch quảng cáo trong một khoảng thời gian đáng kể."
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...