Quảng cáo Google độc hại đẩy phần mềm quét IP giả với cửa sau ẩn

www.tuoitre.vn -   12/04/2024 08:00:00 49

Một chiến dịch quảng cáo độc hại mới của Google đang tận dụng một cụm tên miền bắt chước phần mềm quét IP hợp pháp để phát tán một cửa sau chưa từng được biết đến trước đây có tên là MadMxShell.

Quảng cáo Google độc hại đẩy phần mềm quét IP giả với cửa sau ẩn

Các nhà nghiên cứu bảo mật cho biết: “Tác nhân đe dọa đã đăng ký nhiều miền trông giống nhau bằng cách sử dụng kỹ thuật đánh máy và tận dụng Google Ads để đẩy các miền này lên đầu kết quả của công cụ tìm kiếm nhắm mục tiêu vào các từ khóa tìm kiếm cụ thể, từ đó thu hút nạn nhân truy cập các trang web này”. Singh nói.

Có tới 45 miền được cho là đã được đăng ký từ tháng 11 năm 2023 đến tháng 3 năm 2024, với các trang web giả mạo phần mềm quản lý CNTT và quét cổng như Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG và ManagedEngine.

Mặc dù đây không phải là lần đầu tiên các tác nhân đe dọa sử dụng các kỹ thuật quảng cáo độc hại để phát tán phần mềm độc hại thông qua các trang web tương tự, nhưng sự phát triển này đánh dấu lần đầu tiên phương tiện phân phối được sử dụng để phát tán một cửa hậu Windows tinh vi.

Do đó, những người dùng cuối cùng khi tìm kiếm những công cụ như vậy sẽ được hiển thị các trang web không có thật bao gồm mã JavaScript được thiết kế để tải xuống tệp độc hại ("Advanced-ip-scanner.zip") khi nhấp vào nút tải xuống.

Hiện diện trong kho lưu trữ ZIP là một tệp DLL ("IVIEWERS.dll") và một tệp thực thi ("Advanced-ip-scanner.exe"), tệp sau sử dụng tải bên DLL để tải DLL và kích hoạt chuỗi lây nhiễm.

Tệp DLL chịu trách nhiệm đưa shellcode nhúng vào quy trình "Advanced-ip-scanner.exe" thông qua một kỹ thuật được gọi là làm rỗng quy trình, sau đó tệp EXE được chèn sẽ giải nén hai tệp bổ sung – OneDrive.exe và Secur32.dll.

OneDrive.exe, một tệp nhị phân được ký hợp pháp của Microsoft, sau đó bị lạm dụng để tải Secur32.dll và cuối cùng thực thi cửa sau shellcode, nhưng không phải trước khi thiết lập tính bền vững trên máy chủ bằng tác vụ đã lên lịch và vô hiệu hóa Tính năng Chống Virut của Bộ bảo vệ Microsoft.

Cửa sau – được đặt tên theo việc sử dụng truy vấn DNS MX cho lệnh và điều khiển (C2) – được thiết kế để thu thập thông tin hệ thống, chạy lệnh qua cmd.exe và thực hiện các thao tác thao tác tệp cơ bản như đọc, viết và xóa các tập tin.

Nó gửi yêu cầu đến máy chủ C2 ("litterbolo[.]com") bằng cách mã hóa dữ liệu trong (các) tên miền phụ của Tên miền đủ điều kiện (FQDN) trong gói truy vấn trao đổi thư DNS (MX) và nhận các lệnh được mã hóa bên trong gói phản hồi.

Tay và Singh cho biết: “Cửa sau sử dụng các kỹ thuật như nhiều giai đoạn tải phụ DLL và đường hầm DNS để liên lạc bằng lệnh và điều khiển (C2) như một phương tiện để trốn tránh các giải pháp bảo mật mạng và điểm cuối tương ứng”.

Ngoài ra, cửa sau còn sử dụng các kỹ thuật lẩn tránh như chống bán phá giá để ngăn chặn việc phân tích bộ nhớ và cản trở các giải pháp bảo mật.

Hiện tại không có dấu hiệu nào cho thấy những kẻ điều hành phần mềm độc hại đến từ đâu hoặc ý định của chúng là gì, nhưng Zscaler cho biết họ đã xác định được hai tài khoản do chúng tạo trên các diễn đàn tội phạm ngầm như blackhatworld[.]com và social-eng[.]ru bằng cách sử dụng địa chỉ email wh8842480@gmail[.]com, cũng được sử dụng để đăng ký Máy quét IP nâng cao giả mạo tên miền.

Cụ thể, người ta phát hiện tác nhân đe dọa tham gia vào các bài đăng cung cấp cách thiết lập tài khoản ngưỡng Google AdSense không giới hạn từ tháng 6 năm 2023, cho thấy họ quan tâm đến việc khởi động chiến dịch quảng cáo độc hại kéo dài của riêng mình.

Các nhà nghiên cứu cho biết: “Các tài khoản ngưỡng Google Ads và các kỹ thuật lạm dụng chúng thường được giao dịch trên các diễn đàn BlackHat”. “Nhiều khi họ đưa ra cách để kẻ đe dọa bổ sung càng nhiều tín dụng càng tốt để chạy các chiến dịch Google Ads.”

"Điều này cho phép các tác nhân đe dọa chạy các chiến dịch mà không thực sự phải trả tiền cho đến giới hạn ngưỡng. Giới hạn ngưỡng cao hợp lý cho phép tác nhân đe dọa chạy chiến dịch quảng cáo trong một khoảng thời gian đáng kể."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 441
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 887
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 837
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 71
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 683
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 74
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

LIÊN HỆ

Thông tin liên hệ