Nhiều dịch vụ của Google, bao gồm cả tìm kiếm Google, cũng bị hạn chế hoặc bị kiểm duyệt rất gắt gao ở Trung Quốc đại lục. Thực tế cho thấy, nhiều người dùng tại quốc gia này đã cố gắng vượt qua những hạn chế đó bằng cách sử dụng nhiều công cụ khác nhau như VPN.
Các tác nhân đe dọa đang lạm dụng tài khoản Google Ads để tạo quảng cáo độc hại và điều hướng đến các trang mà người dùng không nghi ngờ để tải xuống Trojan quản trị từ xa (RAT). Các chương trình này cung cấp cho kẻ tấn công toàn quyền kiểm soát máy tính của nạn nhân và khả năng phát tán phần mềm độc hại bổ sung.
Không phải ngẫu nhiên mà các chiến dịch quảng cáo độc hại chủ yếu tập trung vào các ứng dụng bị hạn chế hoặc bị cấm. Các nhà nghiên cứu của Công ty an ninh mạng Malwarebytes (Ireland) cho biết, mặc dù chưa rõ ý định thực sự của các tác nhân đe dọa, nhưng việc thu thập dữ liệu và dò quét có thể là một trong những động cơ của chúng.
Chiến dịch quảng cáo độc hại
Người dùng truy cập vào địa chỉ google.cn sẽ được chuyển hướng đến google.com.hk, nơi các tìm kiếm được cho là không bị kiểm duyệt. Khi tra cứu từ khóa “telegram” và “LINE”, có thể nhận thấy kết quả tìm kiếm quảng cáo được hiển thị (Hình 1 và Hình 2).
Hình 1. Tìm kiếm Telegram
Hình 2. Tìm kiếm LINE
Nếu người dùng truy cập vào các kết quả quảng cáo tìm kiếm ở trên, sẽ hiển thị các dòng mô tả về các ứng dụng, trong đó có thông báo tải xuống ứng dụng phiên bản tiếng Trung của Telegram.
Các nhà nghiên cứu đã xác định được hai tài khoản Google Ads phía sau những quảng cáo này, cả hai đều được liên kết với hồ sơ người dùng ở Nigeria, bao gồm: Interactive Communication Team Limited và Ringier Media Nigeria Limited. Dựa trên số lượng quảng cáo cho mỗi tài khoản trên, các nhà nghiên cứu nhận định rằng chúng có thể đã bị các tác nhân đe dọa chiếm đoạt.
Cơ sở hạ tầng
Các tác nhân đe dọa này dường như dựa vào cơ sở hạ tầng của Google dưới dạng Google Docs hoặc Google Sites. Điều này cho phép kẻ tấn công có thể chèn liên kết để tải xuống hoặc thậm chí chuyển hướng đến các trang web khác mà chúng kiểm soát, nhằm phân phối các tệp trình cài đặt độc hại mà cuối cùng là triển khai các Trojan như PlugX và Gh0st RAT.
Hình 3. Quảng cáo dưới dạng Google Docs
Payload phần mềm độc hại
Các nhà nghiên cứu đã thu thập được một số payload từ chiến dịch này, tất cả đều ở định dạng MSI. Một trong số đó đã sử dụng kỹ thuật DLL side-loading, bao gồm việc kết hợp một ứng dụng hợp pháp với một DLL độc hại được tải tự động.
Hình 4. Tệp DLL độc hại
Trong Hình 4, tệp DLL được ký bằng chứng chỉ hiện đã bị thu hồi từ Sharp Brilliance Communication Technology Co., Ltd. Chứng chỉ này gần đây cũng được sử dụng để ký mẫu PlugX RAT (Phần mềm độc hại của tin tặc Trung Quốc cũng thực hiện kỹ thuật DLL side-loading). Trên thực tế, một số phần mềm độc hại trước đây đã được sử dụng trong các chiến dịch khác và là biến thể của Gh0st RAT.
Quảng cáo trực tuyến là một cách thức hiệu quả để tiếp cận một đối tượng nhất định và tất nhiên chúng cũng có thể bị lạm dụng. Những người dùng sống tại các quốc gia nơi các ứng dụng và nền tảng liên lạc bị cấm hoặc hạn chế sẽ cố gắng vượt qua các biện pháp này.
Sự phát triển này diễn ra khi nhóm nghiên cứu bảo mật SpiderLabs của công ty an ninh mạng Trustwave (Mỹ) tiết lộ sự gia tăng đột biến trong việc sử dụng nền tảng lừa đảo dưới dạng dịch vụ (PhaaS) có tên Greatness để tạo các trang thu thập thông tin xác thực có giao diện hợp pháp nhắm mục tiêu đến người dùng Microsoft 365.
Ngọc Ngân
(Tổng hợp)
10:00 | 27/03/2023
14:00 | 06/01/2023
17:00 | 12/04/2024
10:00 | 15/12/2022
12:00 | 08/09/2024
Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 08 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
14:00 | 28/08/2024
Sáng ngày 28/8, tại Hà Nội, Bộ Tham mưu Bộ đội Biên phòng tổ chức khai mạc Hội thi Kỹ thuật nghiệp vụ mật mã lần thứ 16 và tập huấn cán bộ cơ yếu Bộ đội Biên phòng năm 2024. Thiếu tướng Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng Tham mưu đến dự và chỉ đạo.
11:00 | 26/08/2024
Chính phủ Hàn Quốc đưa ra cáo buộc rằng tin tặc Triều Tiên đã đánh cắp thông tin quan trọng về xe tăng K2, xe tăng chiến đấu chủ lực của nước này, cũng như máy bay do thám có tên Baekdu và Geumgang.
15:00 | 04/08/2024
Google đã hủy bỏ kế hoạch loại bỏ cookie của bên thứ ba trong trình duyệt Chrome và thay vào đó sẽ giới thiệu trải nghiệm trình duyệt mới cho phép người dùng giới hạn cách sử dụng các cookie này.
Chương trình nghệ thuật “Vinh quang thầm lặng 2024” đã kết thúc, nhưng những xúc cảm vẫn còn lắng đọng trong tâm hồn khán giả.
10:00 | 10/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Chính phủ Úc cho biết nước này có kế hoạch đưa ra các quy tắc quản lý trí tuệ nhân tạo (AI) trong bối cảnh các công cụ AI đang được triển khai nhanh chóng bởi các doanh nghiệp và trong cuộc sống hàng ngày.
07:00 | 10/09/2024