Những kẻ khai thác phần mềm độc hại ngày càng lợi dụng nền tảng Google Ads để phát tán phần mềm độc hại đến những người dùng đang tìm kiếm các sản phẩm phần mềm phổ biến.
Các sản phẩm được mạo danh trong các chiến dịch này bao gồm Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird và Brave.
Các tác nhân đe dọa đã sao chép trang web chính thức của các dự án trên và phân phối các phiên bản trojan của phần mềm khi người dùng nhấp vào nút tải xuống.
Một số phần mềm độc hại được gửi đến hệ thống nạn nhân bao gồm các biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID.
BleepingComputer gần đây đã báo cáo về các chiến dịch, trong đó có một chiến dịch khổng lồ đã sử dụng hơn 200 tên miền mạo danh các dự án phần mềm. Một ví dụ khác là chiến dịch sử dụng cổng MSI Afterburner giả để lây nhiễm cho người dùng bằng trình đánh cắp RedLine.
Tuy nhiên, một chi tiết còn thiếu là cách người dùng tiếp xúc với các trang web này, một phần thông tin hiện đã được biết đến.
Hai báo cáo từ Guardio Labs và Trend Micro giải thích rằng các trang web độc hại này được quảng cáo cho nhiều đối tượng hơn thông qua các chiến dịch Quảng cáo của Google.
Lạm dụng quảng cáo Google
Nền tảng Quảng cáo Google giúp các nhà quảng cáo quảng bá các trang trên Google Tìm kiếm, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường ở trên trang web chính thức của dự án.
Điều này có nghĩa là người dùng đang tìm kiếm phần mềm hợp pháp trên trình duyệt không có trình chặn quảng cáo đang hoạt động sẽ thấy quảng cáo trước tiên và có khả năng nhấp vào phần mềm đó vì nó trông rất giống với kết quả tìm kiếm thực tế.
Nếu Google phát hiện ra rằng trang đích độc hại, thì chiến dịch sẽ bị chặn và quảng cáo sẽ bị xóa, vì vậy, những kẻ đe dọa cần sử dụng một thủ thuật trong bước đó để vượt qua kiểm tra tự động của Google.
Theo Guardio và Trend Micro, mánh khóe là đưa các nạn nhân nhấp vào quảng cáo đến một trang web không liên quan nhưng lành tính do tác nhân đe dọa tạo ra và sau đó chuyển hướng họ đến một trang web độc hại mạo danh dự án phần mềm.
Guardio Labs giải thích trong báo cáo : “Thời điểm những trang web “ngụy trang” đó được truy cập bởi những khách truy cập mục tiêu, máy chủ sẽ ngay lập tức chuyển hướng họ đến trang web giả mạo và từ đó đến tải trọng độc hại .
“Các trang web lừa đảo đó thực tế là vô hình đối với những khách truy cập không tiếp cận từ luồng quảng cáo hiển thị dưới dạng các trang web lành tính, không liên quan đến trình thu thập thông tin, bot, khách truy cập không thường xuyên và tất nhiên là đối với những người thực thi chính sách của Google” – Guardio Labs
Tải trọng, ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ mã và chia sẻ tệp có uy tín như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng mọi chương trình chống vi-rút đang chạy trên máy của nạn nhân sẽ không phản đối việc tải xuống.
Tránh tải xuống có hại
Kết quả tìm kiếm quảng cáo có thể phức tạp vì chúng mang tất cả các dấu hiệu của tính hợp pháp. FBI mới đây đã đưa ra cảnh báo về loại chiến dịch quảng cáo này, kêu gọi người dùng internet hết sức thận trọng.
Một cách để chặn các chiến dịch này là kích hoạt trình chặn quảng cáo trên trình duyệt web của bạn, trình lọc này sẽ lọc ra các kết quả được quảng cáo từ Google Tìm kiếm.
Một biện pháp phòng ngừa khác là cuộn xuống cho đến khi bạn thấy tên miền chính thức của dự án phần mềm mà bạn đang tìm kiếm. Nếu không chắc chắn, tên miền chính thức được liệt kê trên trang Wikipedia của phần mềm.
Nếu bạn thường xuyên truy cập trang web của một dự án phần mềm cụ thể để tìm nguồn cập nhật, tốt hơn hết bạn nên đánh dấu URL và sử dụng URL đó để truy cập trực tiếp.
Một dấu hiệu phổ biến cho thấy trình cài đặt bạn sắp tải xuống có thể độc hại là kích thước tệp bất thường.
Một biểu hiện rõ ràng khác của hành vi chơi xấu là tên miền của trang web tải xuống, có thể giống với tên miền chính thức nhưng đã hoán đổi các ký tự trong tên hoặc một chữ cái sai, được gọi là “lỗi đánh máy”.
Theo bleepingcomputer
