Theo báo cáo từ bộ phận an ninh mạng Unit 42 của Palo Alto Networks, tin tặc đã giả mạo phần mềm VPN GlobalProtect, đặt quảng cáo trên Google Search để dẫn dụ người dùng truy cập vào những trang web độc hại.
Khi truy cập vào những trang web độc hại này, người dùng sẽ bị lừa tải xuống một trình tải phần mềm có tên WikiLoader, được ngụy trang dưới dạng phần mềm GlobalProtect. Sau đó WikiLoader sẽ tải xuống các mã độc khác, đánh cắp thông tin cũng như cho phép tin tặc kiểm soát thiết bị từ xa.
Các nhà nghiên cứu cho biết đây là hình thức tấn công mạng khá mới của tin tặc, chuyển từ hình thức tấn công lừa đảo (phishing) truyền thống sang dạng thực hiện tấn công thông qua đầu độc (Search Engine Optimization - SEO). Đầu độc SEO có nghĩa là các trang web do kẻ tấn công kiểm soát sẽ xuất hiện trên trang đầu của kết quả tìm kiếm thay vì các sản phẩm hợp pháp. Tin tặc cố gắng thực hiện điều này bằng cách mua quảng cáo hoặc cải thiện thứ hạng trang. Các chuyên gia cảnh báo rằng, việc đầu độc SEO sẽ mở rộng phạm vi nạn nhân tiềm năng và đã quan sát thấy một số tổ chức trong lĩnh vực giáo dục đại học và giao thông vận tải của Hoa Kỳ bị ảnh hưởng bởi WikiLoader.
“Mặc dù SEO poisoning không phải là một kỹ thuật mới, nhưng nó vẫn là một cách hiệu quả để cung cấp một trình tải đến một điểm cuối. Việc giả mạo phần mềm bảo mật đáng tin cậy có thể giúp bỏ qua các biện pháp kiểm soát điểm cuối tại các tổ chức dựa vào danh sách cho phép dựa trên tên tệp”, báo cáo của Unit 42 cho biết.
Proofpoint trước đây đã báo cáo rằng những kẻ tấn công đã sử dụng WikiLoader để phân phối các trojan ngân hàng như Danabot hoặc Ursnif/Gozi đến các tổ chức ở Ý. Những kẻ tấn công đã sử dụng nhiều thủ thuật để tránh bị phát hiện. Tệp mẫu lấy được từ nạn nhân có tên là GlobalProtect64. Tuy nhiên, đó là bản sao được đổi tên của một ứng dụng giao dịch cổ phiếu hợp pháp được sử dụng để tải thành phần WikiLoader đầu tiên. Tệp zip chứa hơn 400 tệp ẩn.
Để ngăn nạn nhân thắc mắc tại sao GlobalProtect không được cài đặt, phần mềm độc hại sẽ hiển thị thông báo lỗi giả rằng DLL bị thiếu sau khi quá trình lây nhiễm hoàn tất. Các phần mềm hợp pháp được đổi tên khác, chẳng hạn như công cụ Microsoft Sysinternals ADInsight.exe đã được ẩn bên trong trình cài đặt để tải các cửa hậu.
Các chuyên gia khuyến cáo người dùng cần thận trọng khi tải xuống phần mềm từ Internet, đặc biệt là từ các kết quả tìm kiếm trên Google. Hãy luôn kiểm tra kỹ nguồn gốc và tính xác thực của trang web trước khi tải bất kỳ tệp tin nào.
Tuệ Minh
21:00 | 29/08/2024
07:00 | 23/09/2024
12:00 | 03/10/2024
13:00 | 21/08/2024
10:00 | 14/08/2024
17:00 | 30/08/2024
11:00 | 18/07/2024
16:00 | 31/08/2024
Theo Entropia Intel, từ ngày 26/8, loạt trang web liên quan đến chính phủ Pháp đã ngừng hoạt động do bị tấn công từ chối dịch vụ (DDoS). Sự việc diễn ra sau khi Pháp bắt CEO Telegram Pavel Durov hôm 24/8.
16:00 | 20/06/2024
Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS - hệ điều hành dành cho các sản phẩm NAS đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, trong đó có 11 lỗ hổng vẫn chưa được vá.
14:00 | 18/06/2024
Hiện nay, những kẻ lừa đảo thường mở các tài khoản ngân hàng, sau đó tìm cách chiếm đoạt tài khoản Facebook trùng tên để thực hiện các hành vi mượn tiền nhằm chiếm đoạt tài sản của người dùng.
08:00 | 23/05/2024
Chiều 10/5, Công ty Đường sắt Đông Nhật Bản (JR East) thông tin về sự cố gián đoạn hệ thống đối với ứng dụng Mobile Suica và hệ thống đặt chỗ trực tuyến Eki-net.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024