WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hacker sử dụng Google Adwords và Google Sites để phát tán mã độc
Các nhà nghiên cứu đã phát hiện ra một loại mã độc phức tạp lừa người sử dụng tải về trình cài đặt trình duyệt Google Chrome giả mạo nhưng thực chất chứa mã độc sẽ tiến hành cài đặt các chương trình không mong muốn trên thiết bị Windows và kết nối đến một số máy chủ để nhận lệnh từ kẻ tấn công.
Hacker sử dụng Google Adwords để tiến hành lừa đảo
Google AdWords là một dịch vụ quảng cáo trực tuyến cho phép người dùng trả tiền cho Google để hiển thị quảng cáo trên các vị trí nổi bật trong kết quả tìm kiếm. Ví dụ: nếu người dùng tìm kiếm thuật ngữ "Download Antivirus" trên Google, vị trí đầu sẽ hiển thị quảng cáo. Trong một số trường hợp, bốn kết quả tìm kiếm đầu tiên hiển thị quảng cáo được các cá nhân hoặc công ty trả tiền để bán được hàng hoặc giao dịch nhanh.
Trong cách lừa đảo này, hacker lợi dụng dịch vụ Google Adwords và dường như trả tiền cho Google để hiển thị liên kết đến trang web của họ ở trên cùng. Nhưng dường như Google không quét các liên kết trước khi chấp nhận đơn đăng ký của nhà quảng cáo hoặc hiển thị kết quả cho số đông.
Mặc dù kết quả tìm kiếm của Google được kết nối với cookie trình duyệt của người dùng và/hoặc khác nhau giữa các quốc gia, khi tìm từ khóa "Download Google Chrome" trên Google, các nhà nghiên cứu từ HackRead phát hiện ra rằng kết quả tìm kiếm đầu tiên thuộc về một nhà quảng cáo mà khi click vào sẽ đưa người dùng đến site.google.com được phát triển bằng cách sử dụng dịch vụ Google Sites.
Hacker phát tán mã độc bằng Google Sites
Google Sites là một công cụ tạo trang wiki và trang web có cấu trúc do Google cung cấp. Mục tiêu của Google Sites là để cho bất kỳ ai có thể tạo trang web theo nhóm, nơi có nhiều người có thể cộng tác và chia sẻ tệp. Tuy nhiên, trong trường hợp này, khi người sử dụng vào liên kết Google Sites, người dùng sẽ bị lừa để tin rằng họ đang ở trên trang tải xuống trình duyệt Google Chrome đích thực.
Sau khi nhấp vào tab "Download Chrome", người dùng sẽ được đưa đến một liên kết Google Drive sẽ cài tệp tải xuống trên thiết bị. Tệp tải xuống được gắn nhãn ChromeSetup.exe và được phát hiện là vi-rút bởi Windows Defender Antivirus, tuy nhiên mối liên hệ với Coinrobot.xyz không rõ ràng.
Trang web Coinrobot.xyz là một trang web tiếng Nga cung cấp người dùng cho các thợ mỏ đào tiền ảo. Tuy nhiên, kiểm tra cho thấy Coinrobot.xyz có tên miền đăng ký vào ngày 14 tháng 12 năm 2017 và chỉ được sử dụng cho mục đích duy nhất là lây lan mã độc nhắm đến người dùng Windows và có thể sử dụng sức mạnh tính toán của họ để tạo ra tiền ảo cho tội phạm trực tuyến.
Hành vi lừa đảo đã được báo với Google
Các nhà nghiên cứu đã báo cáo sự cố với Google và hy vọng rằng vấn đề này sẽ sớm được giải quyết. Đối với người sử dụng, bài học là không bao giờ nhấp vào liên kết trên Internet mà không xác minh, nhưng khi hacker có thể lừa cả Google bằng cách sử dụng nền tảng riêng của họ như Google Sites và Adwords để phát tán nội dung độc hại, thì chúng ta không thể đổ lỗi cho người dùng khi bị lừa.
Đây không phải là lần đầu tiên
Đây không phải là lần đầu tiên hacker sử dụng Google Adwords để lừa người dùng trực tuyến. Trước đây, trang web trao đổi tiền ảo Bittrex giả mạo cũng sử dụng dịch vụ Adwords để hiển thị quảng cáo trên vị trí trên cùng của Công cụ Tìm kiếm Google. Chiến dịch này không chỉ lừa người dùng Bittrex tin tưởng rằng họ đang ở trang web đích thực mà còn ăn cắp tiền của họ.
Hacker sử dụng Google Adwords để tiến hành lừa đảo
Google AdWords là một dịch vụ quảng cáo trực tuyến cho phép người dùng trả tiền cho Google để hiển thị quảng cáo trên các vị trí nổi bật trong kết quả tìm kiếm. Ví dụ: nếu người dùng tìm kiếm thuật ngữ "Download Antivirus" trên Google, vị trí đầu sẽ hiển thị quảng cáo. Trong một số trường hợp, bốn kết quả tìm kiếm đầu tiên hiển thị quảng cáo được các cá nhân hoặc công ty trả tiền để bán được hàng hoặc giao dịch nhanh.
Trong cách lừa đảo này, hacker lợi dụng dịch vụ Google Adwords và dường như trả tiền cho Google để hiển thị liên kết đến trang web của họ ở trên cùng. Nhưng dường như Google không quét các liên kết trước khi chấp nhận đơn đăng ký của nhà quảng cáo hoặc hiển thị kết quả cho số đông.
Mặc dù kết quả tìm kiếm của Google được kết nối với cookie trình duyệt của người dùng và/hoặc khác nhau giữa các quốc gia, khi tìm từ khóa "Download Google Chrome" trên Google, các nhà nghiên cứu từ HackRead phát hiện ra rằng kết quả tìm kiếm đầu tiên thuộc về một nhà quảng cáo mà khi click vào sẽ đưa người dùng đến site.google.com được phát triển bằng cách sử dụng dịch vụ Google Sites.
Hacker phát tán mã độc bằng Google Sites
Google Sites là một công cụ tạo trang wiki và trang web có cấu trúc do Google cung cấp. Mục tiêu của Google Sites là để cho bất kỳ ai có thể tạo trang web theo nhóm, nơi có nhiều người có thể cộng tác và chia sẻ tệp. Tuy nhiên, trong trường hợp này, khi người sử dụng vào liên kết Google Sites, người dùng sẽ bị lừa để tin rằng họ đang ở trên trang tải xuống trình duyệt Google Chrome đích thực.
Sau khi nhấp vào tab "Download Chrome", người dùng sẽ được đưa đến một liên kết Google Drive sẽ cài tệp tải xuống trên thiết bị. Tệp tải xuống được gắn nhãn ChromeSetup.exe và được phát hiện là vi-rút bởi Windows Defender Antivirus, tuy nhiên mối liên hệ với Coinrobot.xyz không rõ ràng.
Trang web Coinrobot.xyz là một trang web tiếng Nga cung cấp người dùng cho các thợ mỏ đào tiền ảo. Tuy nhiên, kiểm tra cho thấy Coinrobot.xyz có tên miền đăng ký vào ngày 14 tháng 12 năm 2017 và chỉ được sử dụng cho mục đích duy nhất là lây lan mã độc nhắm đến người dùng Windows và có thể sử dụng sức mạnh tính toán của họ để tạo ra tiền ảo cho tội phạm trực tuyến.
Hành vi lừa đảo đã được báo với Google
Các nhà nghiên cứu đã báo cáo sự cố với Google và hy vọng rằng vấn đề này sẽ sớm được giải quyết. Đối với người sử dụng, bài học là không bao giờ nhấp vào liên kết trên Internet mà không xác minh, nhưng khi hacker có thể lừa cả Google bằng cách sử dụng nền tảng riêng của họ như Google Sites và Adwords để phát tán nội dung độc hại, thì chúng ta không thể đổ lỗi cho người dùng khi bị lừa.
Đây không phải là lần đầu tiên
Đây không phải là lần đầu tiên hacker sử dụng Google Adwords để lừa người dùng trực tuyến. Trước đây, trang web trao đổi tiền ảo Bittrex giả mạo cũng sử dụng dịch vụ Adwords để hiển thị quảng cáo trên vị trí trên cùng của Công cụ Tìm kiếm Google. Chiến dịch này không chỉ lừa người dùng Bittrex tin tưởng rằng họ đang ở trang web đích thực mà còn ăn cắp tiền của họ.
Theo HackRead