.jpg)
Chiến dịch MasquerAds
Theo các nhà nghiên cứu của công ty an ninh mạng Guardio Labs, chiến dịch có tên gọi là “MasquerAds”, đồng thời cho biết “Vermux” được cho là nhóm tin tặc đứng đằng sau chiến dịch quảng cáo độc hại này, lưu ý rằng danh sách các chương trình và ứng dụng bị lạm dụng vẫn đang tiếp tục phát triển. Hoạt động của Vermux chủ yếu nhắm mục tiêu vào người dùng Canada và Mỹ.
Chiến dịch phát tán mã độc này nhắm đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các chương trình, ứng dụng phổ biến, ví dụ như Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird hay Brave,…
.png)
Cách thức hoạt động trong chiến dịch MasquerAds
Theo đó, tin tặc sẽ mua quảng cáo từ khóa để các trang web độc hại với vẻ ngoài đáng tin cậy xuất hiện trên đầu kết quả tìm kiếm của Google. Mục tiêu cuối cùng của các cuộc tấn công như vậy là đánh lừa người dùng tải xuống các chương trình độc hại hoặc các ứng dụng không mong muốn.
Các tin tặc sẽ sao chép các trang web chính thức của những ứng dụng trên và phân phối nhiều phiên bản trojan khác nhau khi người dùng nhấp vào nút tải xuống. Một số mã độc đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo kỹ thuật này, bao gồm một số biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID. Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng MSI Afterburner giả mạo để lây nhiễm cho người dùng bằng trình đánh cắp thông tin RedLine.
Lạm dụng quảng cáo Google Ads
Nền tảng Google Ads giúp các nhà quảng cáo quảng bá website của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường là nằm trên trang web chính thức của sản phẩm. Điều này có nghĩa là nếu người dùng đang tìm kiếm ứng dụng hợp pháp trên trình duyệt không có trình chặn quảng cáo, họ sẽ thấy quảng cáo liên quan đến ứng dụng đầu tiên, đồng thời có khả năng nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.
Nếu Google phát hiện ra trang đích độc hại được được quảng cáo, nó sẽ bị chặn và quảng cáo bị xóa ngay lập tức. Vì vậy, các tin tặc cần sử dụng một phương thức khác để vượt qua kỹ thuật kiểm tra tự động của Google.
Guardio Labs cho biết: “Các tin tặc đã tạo ra một mạng lưới các trang web được quảng bá trên công cụ tìm kiếm, khi người dùng nhấp vào thì họ sẽ được chuyển hướng đến một trang web lừa đảo chứa các tệp tin và payload độc hại (lưu trữ trên Dropbox hoặc OneDrive)”.
.png)
Một số trang web đích và lừa đảo được sử dụng trong các chiến dịch
Các payload độc hại ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ và chia sẻ tệp phổ biến như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng các chương trình anti-virus đang hoạt động trên hệ thống của người dùng sẽ không đưa ra bất cứ cảnh báo hay ngăn chặn nào đến với việc tải xuống.
Các nhà nghiên cứu tại Guardio Labs cho biết trong một chiến dịch điển hình được họ quan sát vào tháng 11/2022, tin tặc đã dụ dỗ người dùng bằng phiên bản trojan của Grammarly sử dụng mã độc Raccoon Stealer.
.png)
Luồng lây nhiễm của mã độc Raccoon Stealer
Đây không phải là lần đầu tiên nền tảng Google Ads được các tin tặc lạm dụng để phát tán mã độc. Tháng 11/2022, Microsoft đã tiết lộ một chiến dịch tấn công sử dụng dịch vụ quảng cáo để triển khai BATLOADER, sau đó được sử dụng để phát tán phần mềm tống tiền Royal.
Ngoài BATLOADER, tin tặc cũng đã sử dụng các kỹ thuật quảng cáo độc hại để phân phối mã độc IcedID thông qua các trang web giả mạo các ứng dụng nổi tiếng như Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird và TeamViewer. “IcedID là một dòng mã độc đáng chú ý có khả năng phân phối các payload khác, bao gồm cả Cobalt Strike. Mã độc này cho phép tin tặc thực hiện các cuộc tấn công theo dõi dẫn đến khả năng xâm phạm toàn bộ hệ thống, chẳng hạn như đánh cắp dữ liệu của người dùng”, Trend Micro cho biết.
Các phát hiện này cũng được đưa ra khi Cục Điều tra Liên bang Hoa Kỳ (FBI) cảnh báo rằng: “Tin tặc đang sử dụng các dịch vụ quảng cáo trên công cụ tìm kiếm để mạo danh thương hiệu và hướng người dùng đến các trang web độc hại lưu trữ mã độc tống tiền và đánh cắp thông tin đăng nhập cũng như thông tin tài chính khác”.
Biện pháp phòng tránh
Dấu hiệu phổ biến cho thấy trình cài đặt tải xuống có thể chứa mã độc hại là kích thước tệp bất thường. Đây cũng là điều người dùng nên chú ý.
Cách thức khá hiệu quả nhất để ngăn chặn các chiến dịch độc hại như thế này là kích hoạt trình chặn quảng cáo trên trình duyệt web của người dùng. Các trình chặn quảng cáo này sẽ lọc ra các kết quả được quảng cáo từ Google Search.
Bên cạnh đó, các chuyên gia bảo mật khuyến cáo nếu thường xuyên truy cập trang web của một phần mềm cụ thể để tìm nguồn cập nhật, thì người dùng nên đánh dấu bookmark URL để lưu trữ và sử dụng URL đó truy cập trực tiếp nếu cần.
Hồng Đạt
10:00 | 16/02/2023
10:00 | 26/12/2022
08:00 | 16/01/2023
16:00 | 03/02/2023
10:00 | 22/12/2022
14:00 | 21/06/2023
10:00 | 15/12/2022
16:00 | 01/02/2023
14:00 | 23/06/2023
15:00 | 16/11/2023
Sáng ngày 16/11/2023, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã tổ chức Hội thảo Sơ kết công tác giám sát an toàn thông tin năm 2023 nhằm đánh giá kết quả công tác giám sát an toàn thông tin trong năm 2023 và phương hướng nhiệm vụ năm 2024.
07:00 | 30/10/2023
Vài năm trước đây, Deepfake dường như là một công nghệ mới lạ đòi hỏi phần cứng có năng lực tính toán đáng kể. Tuy nhiên, công nghệ này trở nên phổ biến và có khả năng bị lạm dụng nhằm lan truyền thông tin sai lệch, tấn công mạng và các mục đích bất chính khác hiện nay.
08:00 | 13/10/2023
Ba lỗ hổng zero-day được Apple vá vào ngày 21/9/2023 đã bị lợi dụng để phát tán phần mềm gián điệp có tên “Predator” như là một phần của chuỗi tấn công khai tác iPhone, nhắm mục tiêu vào cựu thành viên quốc hội Ai Cập, ông Ahmed Eltantawy trong khoảng thời gian từ tháng 5 đến tháng 9/2023.
08:00 | 26/09/2023
Theo hãng Reuters đưa tin, ngày 15/9, mạng xã hội TikTok bị Ủy ban Bảo vệ Dữ liệu Ireland (DPC) phạt 345 triệu Euro (370 triệu USD), vì vi phạm quy định bảo vệ quyền riêng tư liên quan đến việc xử lý dữ liệu cá nhân của trẻ em tại các nước thành viên Liên minh châu Âu (EU).
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Chiều ngày 16/11, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ và Phó Chủ nhiệm Văn phòng Quốc Hội Nguyễn Mạnh Hùng đồng chủ trì buổi Lễ Ký kết Quy chế phối hợp giữa Văn phòng Quốc hội và Ban Cơ yếu Chính phủ trong công tác bảo mật, an toàn thông tin của Văn phòng Quốc hội.
09:00 | 17/11/2023
Sáng ngày 23/11, tại Hà Nội đã diễn ra Hội nghị tuyên truyền chuyển đổi số và ra mắt Website thông tin chuyển đổi số của Ban Cơ yếu Chính phủ. Hội nghị nhằm mục tiêu tăng cường hiểu biết về lợi ích, vai trò và tầm quan trọng của chuyển đổi số ở phạm vi quốc gia và tại Ban Cơ yếu Chính phủ.
16:00 | 23/11/2023
Theo Reuters, các công ty Trung Quốc đang mua thiết bị sản xuất chip của Mỹ để sản xuất chất bán dẫn tiên tiến, bất chấp một loạt hạn chế xuất khẩu mới nhằm cản trở những tiến bộ trong ngành bán dẫn của nước này.
10:00 | 22/11/2023
