Quảng cáo Google độc hại lừa người dùng WinSCP cài đặt phần mềm độc hại

www.tuoitre.vn -   13/11/2023 08:00:00 1629

Các tác nhân đe dọa đang lợi dụng các kết quả tìm kiếm bị thao túng và các quảng cáo giả mạo của Google để lừa những người dùng đang tìm cách tải xuống phần mềm hợp pháp như WinSCP cài đặt phần mềm độc hại.

Quảng cáo Google độc hại Lừa người dùng WinSCP cài đặt phần mềm độc hại

Các nhà nghiên cứu bảo mật Den Iuzvyk, Tim Peck và Oleg Kolesnikov cho biết trong một báo cáo được chia sẻ với The Hacker: “Quảng cáo độc hại hướng người dùng đến một trang web WordPress bị xâm nhập gameeweb[.]com, chuyển hướng người dùng đến một trang web lừa đảo do kẻ tấn công kiểm soát”. Tin tức.

Các tác nhân đe dọa được cho là đã tận dụng Quảng cáo tìm kiếm động (DSA) của Google, quảng cáo này tự động tạo quảng cáo dựa trên nội dung của trang web để phân phát quảng cáo độc hại đưa nạn nhân đến trang web bị nhiễm.

Mục tiêu cuối cùng của chuỗi tấn công nhiều giai đoạn phức tạp là lôi kéo người dùng nhấp vào trang web WinSCP giả mạo, trông giống nhau, winccp[.]net và tải xuống phần mềm độc hại.

Các nhà nghiên cứu cho biết: “Lưu lượng truy cập từ trang web gaweeweb[.]com đến trang web winccp[.]net giả mạo phụ thuộc vào tiêu đề liên kết giới thiệu chính xác được đặt đúng cách”. "Nếu người giới thiệu không chính xác, người dùng sẽ bị 'Rickrolled' và được đưa đến video YouTube khét tiếng của Rick Astley."

Tải trọng cuối cùng có dạng tệp ZIP ("WinSCP_v.6.1.zip") đi kèm với một tệp thực thi thiết lập, khi được khởi chạy, sử dụng tải bên DLL để tải và thực thi tệp DLL có tên python311.dll có trong kho lưu trữ.

Về phần mình, DLL tải xuống và thực thi trình cài đặt WinSCP hợp pháp để theo kịp mưu mẹo, đồng thời lén lút thả các tập lệnh Python ("slv.py" và "wo15.py") vào nền để kích hoạt hành vi độc hại. Nó cũng chịu trách nhiệm thiết lập sự kiên trì.

Cả hai tập lệnh Python đều được thiết kế để thiết lập liên lạc với máy chủ do tác nhân điều khiển từ xa nhằm nhận thêm các hướng dẫn cho phép kẻ tấn công chạy các lệnh liệt kê trên máy chủ.

Các nhà nghiên cứu cho biết: “Với thực tế là những kẻ tấn công đang tận dụng Google Ads để phát tán phần mềm độc hại, có thể tin rằng mục tiêu chỉ giới hạn ở bất kỳ ai đang tìm kiếm phần mềm WinSCP”.

“Khóa địa lý được sử dụng trên trang web lưu trữ phần mềm độc hại cho thấy những người ở Hoa Kỳ là nạn nhân của cuộc tấn công này.”

Đây không phải là lần đầu tiên Quảng cáo tìm kiếm động của Google bị lạm dụng để phát tán phần mềm độc hại. Cuối tháng trước, Malwarebytes đã vạch trần một chiến dịch nhắm mục tiêu vào người dùng đang tìm kiếm PyCharm với các liên kết đến một trang web bị tấn công lưu trữ trình cài đặt giả mạo, mở đường cho việc triển khai phần mềm độc hại đánh cắp thông tin.

Quảng cáo độc hại đã trở nên phổ biến đối với tội phạm mạng trong vài năm qua, với nhiều chiến dịch phần mềm độc hại sử dụng chiến thuật tấn công này trong những tháng gần đây.

Sự gia tăng các chiến dịch đọc lướt thẻ tín dụng vào tháng 10 năm 2023, ước tính đã xâm phạm hàng trăm trang web thương mại điện tử nhằm mục đích đánh cắp thông tin tài chính bằng cách đưa vào các trang thanh toán giả mạo đầy thuyết phục.

Hương – TheHackerNews

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 133
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 115
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 380
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 43
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 36
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 216
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button