Tin tặc đang tấn công người dùng thông qua kết quả tìm kiếm Google
Các chuyên gia bảo mật từ Palo Alto Networks vừa phát hiện một chiến dịch tấn công mới, trong đó tin tặc sử dụng thủ đoạn tinh vi để phát tán mã độc thông qua kết quả tìm kiếm trên Google.
Ảnh minh họa.
Theo báo cáo của bộ phận an ninh mạng Unit 42 của Palo Alto Networks, các tin tặc đã giả mạo phần mềm VPN GlobalProtect, đặt quảng cáo trên Google Search để dẫn dụ người dùng truy cập vào trang web độc hại.
WikiLoader có thể tải xuống các tải trọng bổ sung, đánh cắp thông tin và cung cấp cho kẻ tấn công quyền truy cập từ xa. Trình tải cho thuê này đã hoạt động ít nhất là từ cuối năm 2022 và đã được cập nhật với "một số thủ thuật độc đáo".
Các nhà nghiên cứu tin rằng những kẻ môi giới truy cập ban đầu những tác nhân đe dọa chuyên tìm cách truy cập vào hệ thống máy tính đang chuyển từ lừa đảo sang thực hiện tấn công thông qua đầu độc SEO (tối ưu hóa công cụ tìm kiếm).
Đầu độc SEO có nghĩa là các trang web do kẻ tấn công kiểm soát sẽ xuất hiện trên trang đầu của kết quả tìm kiếm thay vì các sản phẩm hợp pháp. Tin tặc cố gắng thực hiện điều này bằng cách mua quảng cáo hoặc cải thiện thứ hạng trang.
Các nhà nghiên cứu ở Palo Alto cảnh báo rằng việc đầu độc SEO sẽ mở rộng phạm vi nạn nhân tiềm năng và đã quan sát thấy một số tổ chức trong lĩnh vực giáo dục đại học và giao thông vận tải của Hoa Kỳ bị ảnh hưởng bởi WikiLoader.
“Mặc dù SEO poisoning không phải là một kỹ thuật mới, nhưng nó vẫn là một cách hiệu quả để cung cấp một trình tải đến một điểm cuối. Việc giả mạo phần mềm bảo mật đáng tin cậy có thể giúp bỏ qua các biện pháp kiểm soát điểm cuối tại các tổ chức dựa vào danh sách cho phép dựa trên tên tệp”, báo cáo của Unit 42 cho biết.
Quảng cáo độc hại đang hoạt động ngay trên Google Search.
Proofpoint trước đây đã báo cáo rằng những kẻ tấn công đã sử dụng WikiLoader để phân phối các trojan ngân hàng như Danabot hoặc Ursnif/Gozi đến các tổ chức ở Ý.
Những kẻ tấn công đã sử dụng nhiều thủ thuật để tránh bị phát hiện. Tệp mẫu lấy được từ nạn nhân có tên là GlobalProtect64. Tuy nhiên, đó là bản sao được đổi tên của một ứng dụng giao dịch cổ phiếu hợp pháp được sử dụng để tải thành phần WikiLoader đầu tiên. Tệp zip chứa hơn 400 tệp ẩn.
Để ngăn nạn nhân thắc mắc tại sao GlobalProtect không được cài đặt, phần mềm độc hại sẽ hiển thị thông báo lỗi giả nói rằng DLL bị thiếu sau khi quá trình lây nhiễm hoàn tất.
Các phần mềm hợp pháp được đổi tên khác, chẳng hạn như công cụ Microsoft Sysinternals ADInsight.exe, đã được ẩn bên trong trình cài đặt để tải các cửa hậu.
Các chuyên gia khuyến cáo người dùng cần thận trọng khi tải xuống phần mềm từ internet, đặc biệt là từ các kết quả tìm kiếm trên Google. Hãy luôn kiểm tra kỹ nguồn gốc và tính xác thực của trang web trước khi tải bất kỳ tệp tin nào.
