Cảnh giác với chiêu trò phát tán mã độc mới thông qua Google Search

10:00 | 13/09/2024 | HACKER / MALWARE

Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.

Cảnh giác với chiêu trò phát tán mã độc mới thông qua Google Search

Theo báo cáo từ bộ phận an ninh mạng Unit 42 của Palo Alto Networks, tin tặc đã giả mạo phần mềm VPN GlobalProtect, đặt quảng cáo trên Google Search để dẫn dụ người dùng truy cập vào những trang web độc hại.

Khi truy cập vào những trang web độc hại này, người dùng sẽ bị lừa tải xuống một trình tải phần mềm có tên WikiLoader, được ngụy trang dưới dạng phần mềm GlobalProtect. Sau đó WikiLoader sẽ tải xuống các mã độc khác, đánh cắp thông tin cũng như cho phép tin tặc kiểm soát thiết bị từ xa.

Các nhà nghiên cứu cho biết đây là hình thức tấn công mạng khá mới của tin tặc, chuyển từ hình thức tấn công lừa đảo (phishing) truyền thống sang dạng thực hiện tấn công thông qua đầu độc (Search Engine Optimization - SEO). Đầu độc SEO có nghĩa là các trang web do kẻ tấn công kiểm soát sẽ xuất hiện trên trang đầu của kết quả tìm kiếm thay vì các sản phẩm hợp pháp. Tin tặc cố gắng thực hiện điều này bằng cách mua quảng cáo hoặc cải thiện thứ hạng trang. Các chuyên gia cảnh báo rằng, việc đầu độc SEO sẽ mở rộng phạm vi nạn nhân tiềm năng và đã quan sát thấy một số tổ chức trong lĩnh vực giáo dục đại học và giao thông vận tải của Hoa Kỳ bị ảnh hưởng bởi WikiLoader.

“Mặc dù SEO poisoning không phải là một kỹ thuật mới, nhưng nó vẫn là một cách hiệu quả để cung cấp một trình tải đến một điểm cuối. Việc giả mạo phần mềm bảo mật đáng tin cậy có thể giúp bỏ qua các biện pháp kiểm soát điểm cuối tại các tổ chức dựa vào danh sách cho phép dựa trên tên tệp”, báo cáo của Unit 42 cho biết.

Proofpoint trước đây đã báo cáo rằng những kẻ tấn công đã sử dụng WikiLoader để phân phối các trojan ngân hàng như Danabot hoặc Ursnif/Gozi đến các tổ chức ở Ý. Những kẻ tấn công đã sử dụng nhiều thủ thuật để tránh bị phát hiện. Tệp mẫu lấy được từ nạn nhân có tên là GlobalProtect64. Tuy nhiên, đó là bản sao được đổi tên của một ứng dụng giao dịch cổ phiếu hợp pháp được sử dụng để tải thành phần WikiLoader đầu tiên. Tệp zip chứa hơn 400 tệp ẩn.

Để ngăn nạn nhân thắc mắc tại sao GlobalProtect không được cài đặt, phần mềm độc hại sẽ hiển thị thông báo lỗi giả rằng DLL bị thiếu sau khi quá trình lây nhiễm hoàn tất. Các phần mềm hợp pháp được đổi tên khác, chẳng hạn như công cụ Microsoft Sysinternals ADInsight.exe đã được ẩn bên trong trình cài đặt để tải các cửa hậu.

Các chuyên gia khuyến cáo người dùng cần thận trọng khi tải xuống phần mềm từ Internet, đặc biệt là từ các kết quả tìm kiếm trên Google. Hãy luôn kiểm tra kỹ nguồn gốc và tính xác thực của trang web trước khi tải bất kỳ tệp tin nào.

Tuệ Minh

‹ › ×

Tin liên quan

FBI triệt phá nhóm tin tặc mã độc tống tiền khét tiếng Dispossessor

21:00 | 29/08/2024

Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.

Google dán nhãn ảnh tạo bởi AI trong kết quả tìm kiếm

13:00 | 09/10/2024

Điều này sẽ giúp người dùng dễ dàng kiểm tra xem hình ảnh và video hiển thị trong kết quả tìm kiếm có được tạo ra hoặc chỉnh sửa bằng AI hay không.

ESET cảnh báo mạo danh thương hiệu nhằm phát tán mã độc

09:00 | 29/10/2024

Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.

Ứng dụng chứa mã độc Mandrake tồn tại trên kho ứng dụng Play Store

13:00 | 21/08/2024

Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.

Mã độc Android.Vo1d cài đặt backdoor trên 1,3 triệu TV box tại 197 quốc gia

07:00 | 23/09/2024

Theo hãng bảo mật Doctor Web (Nga), tin tặc đã sử dụng mã độc Android.Vo1d để cài đặt backdoor trên các TV box, cho phép chúng chiếm quyền kiểm soát thiết bị hoàn toàn, sau đó tải và thực thi các ứng dụng độc hại khác. Được biết, các TV box này chạy hệ điều hành Android đã lỗi thời.

Cảnh giác với mã độc tống tiền trên điện thoại di động tại Việt Nam

10:00 | 14/08/2024

Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.

Hơn 11 triệu thiết bị Android có thể bị nhiễm mã độc Necro

12:00 | 03/10/2024

Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.

Nhận diện về hoạt động của một số mạng botnet, APT, mã độc tại Việt Nam

17:00 | 30/08/2024

Xu hướng sử dụng mạng botnet để thực hiện tấn công DDoS của tin tặc ngày càng tăng cao, dẫn đến lưu lượng truy cập vào trang web tăng đột ngột và làm cho server bị quá tải, gây ra những tổn thất nặng nề cho các doanh nghiệp. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên máy tính của các cơ quan, tổ chức tại Việt Nam dễ bị tin tặc tấn công. Qua đó cũng đề xuất một số khuyến nghị nâng cao cảnh giác góp phần cho công tác phòng chống phần mềm độc hại và chia sẻ dữ liệu mã độc.

Cơ quan Nhà nước cảnh giác với mã độc mã hóa dữ liệu mới

11:00 | 18/07/2024

Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Cục An toàn thông tin (Bộ TT&TT) vừa cảnh báo các cơ quan, tổ chức, doanh nghiệp tại Việt Nam về loại mã độc mã hóa dữ liệu mới có tên Eldorado, nhắm vào các hệ thống dùng VMware ESXi và Windows.

Tin cùng chuyên mục

Google khắc phục lỗ hổng bảo mật trên USB giúp nhiều thiết bị Android thoát khỏi nguy cơ bị tấn công

11:00 | 11/03/2025

Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.

Chuyên gia lo ngại về các cuộc tấn công mã độc tống tiền trong năm 2025

10:00 | 03/03/2025

Theo Christiaan Beek, Giám đốc phân tích nguy cơ cấp cao của hãng bảo mật Rapid7 (Hoa Kỳ), 2024 là năm của các cuộc tấn công liên tiếp. Báo cáo của hãng cho thấy, số lượng các vụ tấn công từ những băng nhóm mã độc tống tiền tăng mạnh vào năm ngoái với số tiền chuộc có thể lên tới 380 triệu USD. Trung bình tiền chuộc của mỗi vụ là 200.000 USD.

Tin tặc khai thác lỗ hổng SimpleHelp RMM để triển khai phần mềm độc hại Sliver

17:00 | 25/02/2025

Các nhà nghiên cứu tại công ty an ninh mạng Field Effect (Canada) cảnh báo, tin tặc đang nhắm vào các máy RMM SimpleHelp client dễ bị tấn công để tạo tài khoản quản trị viên, cài đặt mã độc và có thể làm trung gian cho các cuộc tấn công bằng mã độc tống tiền.

Phần mềm độc hại Glove Stealer mới có khả năng vượt qua mã hóa App-Bound của Chrome

10:00 | 28/11/2024

Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.