Theo đó, một số sản phẩm phần mềm phổ biến, thuộc nhiều lĩnh vực khác nhau đang bị tin tặc lợi dụng để phát tán mã độc qua Google Ads như Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird và Brave…
Cụ thể, các tác nhân đe dọa sẽ sao chép các trang web chính thức của những phần mềm trên và phân phối nhiều phiên bản trojan khác nhau của phần mềm khi người dùng nhấp vào nút tải xuống. Một số phần mềm độc hại xâm nhập vào hệ thống nạn nhân theo cách này bao gồm các biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID.
Câu hỏi được đặt ra là tin tặc đã thu hút người dùng truy cập vào các trang web giả mạo mà chúng ta ra như thế nào? Theo hai báo cáo từ Guardio Labs và Trend Micro, các trang web độc hại này được quảng cáo cho nhiều đối tượng hơn thông qua các chiến dịch quảng cáo Google Ads.
Lạm dụng Google Ads
Nền tảng Google Ads giúp các nhà quảng cáo quảng bá các trang web của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả tìm kiếm dưới dạng quảng cáo, thường là nằm phía trên trang web chính thức của dự án/sản phẩm.
Điều này có nghĩa là nếu tìm kiếm phần mềm hợp pháp trên trình duyệt không có trình chặn quảng cáo, người dùng sẽ thấy quảng cáo liên quan đến phần mềm trước tiên và có khả năng cao sẽ nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.
Nếu Google phát hiện ra rằng trang đích độc hại được quảng cáo, thì chiến dịch sẽ bị chặn và quảng cáo sẽ bị xóa, vì vậy, tin tặc cần sử dụng một thủ thuật để vượt qua hàng rào kiểm tra tự động của Google.
Theo Guardio Labs và Trend Micro, mánh khóe này được sử dụng để lừa các nạn nhân nhấp vào quảng cáo đến một trang web không liên quan do tác nhân đe dọa tạo ra và sau đó chuyển hướng họ đến một trang web độc hại mạo danh phần mềm.
“Ngay khi những trang web “ngụy trang” đó được truy cập bởi những khách truy cập mục tiêu, máy chủ sẽ ngay lập tức chuyển hướng họ đến trang web giả mạo và từ đó đến payload độc hại”, Guardio Labs cho biết.
Payload độc hại, ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ mã và chia sẻ tệp có uy tín như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng mọi chương trình chống virus đang chạy trên máy của nạn nhân sẽ không đưa ra bất cứ cảnh báo phản đối nào đối với việc tải tệp xuống.
Với việc phần mềm độc hại được đóng gói cùng với phần mềm hợp pháp, người dùng sẽ vẫn nhận được những gì họ cần khi tải xuống, nhưng đi kèm với đó là mã độc cũng sẽ âm thầm được cài đặt trên hệ thống.
Các biện pháp phòng tránh
Kết quả tìm kiếm được quảng cáo có thể là một hình thức lừa đảo khá phức tạp vì chúng mang tất cả các dấu hiệu của tính hợp pháp. Cục Điều tra Liên bang Mỹ (FBI) mới đây cũng đã đưa ra cảnh báo về loại chiến dịch quảng cáo này, kêu gọi người dùng Internet cần hết sức thận trọng.
Theo đó, một trong những giải pháp hiệu quả và đơn giản để ngăn chặn các chiến dịch độc hại này là kích hoạt trình chặn quảng cáo trên trình duyệt web. Trình chặn quảng cáo này sẽ giúp người dùng lọc ra những kết quả được quảng cáo từ Google Search.
Bên cạnh đó, một biện pháp phòng ngừa khác mà người dùng có thể sử dụng là cuộn các kết quả tìm kiếm xuống cho đến khi thấy tên miền chính thức của dự án phần mềm mà mình đang tìm kiếm. Nếu không chắc chắn, người dùng có thể thực hiện thêm một số thao tác để kiểm chứng, và tên miền chính thức được liệt kê trên trang Wikipedia của phần mềm.
Nếu người dùng thường xuyên truy cập trang web của một dự án phần mềm cụ thể để tìm nguồn cập nhật, thì tốt hơn hết nên đánh dấu URL và sử dụng URL đó để truy cập trực tiếp.
Ngoài ra, một dấu hiệu phổ biến cho thấy trình cài đặt của bạn sắp tải xuống có thể chứa phần mềm độc hại là kích thước tệp bất thường.
Một biểu hiện rõ ràng khác để người dùng nhận biết đó là đường link độc hại là tên miền của trang web tải xuống có thể giống với tên miền chính thức nhưng đã hoán đổi một số ký tự trong tên hoặc có một chữ cái sai chính tả. Đây cũng là điều người dùng cần lưu ý./.