-
09/04/2020
-
85
-
553 bài viết
Tin tặc lợi dụng Google PPC Ads để phát tán mã độc
Các nhà nghiên cứu vừa tìm ra nguồn gốc của một số mã độc có chức năng thu thập thông tin (infostealer) đang phổ biến hiện nay như Redline, Taurus, Tesla và Amaday. Kẻ xấu đã phát tán các mã độc này thông qua các quảng cáo pay-per-click (PPC - trả tiền cho một lần nhấp chuột) từ kết quả tìm kiếm của Google.
Hãng bảo mật Morphisec đã đưa ra khuyến cáo trong bản điều tra của mình về nguồn gốc của các quảng cáo trả phí xuất hiện ngay trang đầu của kết quả tìm kiếm và khiến người dùng tải về các ứng dụng độc hại như AnyDesk, Dropbox và Telegram dưới dạng file ảnh định dạng ISO.
Lần này, các quảng cáo PPC của Google nhắm mục tiêu vào các IP cụ thể tại Hoa Kỳ và có thể cả một số quốc gia khác. Các IP không nằm trong tầm ngắm được điều hướng đến các trang hợp pháp để tải về các ứng dụng “chính chủ”.
Có 3 chuỗi tấn công được các nhà nghiên cứu đề cập trong báo cáo điều tra. Hai trong số đó lợi dụng Taurus và mini-Redlineare, sử dụng cùng các mô hình, chứng chỉ và các trung tâm lệnh và điều khiển (C2s), chuỗi thứ 3 lại sử dụng Redline.
Vậy tại sao những quảng cáo độc hại này lại được xuất hiện trên trang nhất của kết quả tìm kiếm trong khi Google có công nghệ và công cụ phát hiện mã độc riêng. Vấn đề này sẽ cần câu trả lời từ phía Google.
Tuy nhiên, theo các nhà nghiên cứu, tất cả các chuỗi tấn công này đều bắt đầu bằng một trong số hàng chục quảng cáo trả phí của Google dẫn đến một trang web có tải xuống hình ảnh ISO. Kích thước hình ảnh ISO lớn hơn 100MB, cho phép nó “né” được một số giải pháp rà quét được tối ưu hóa dựa trên lưu lượng và kích thước của file.
Chi tiết về bài nghiên cứu của Morphisec các bạn có thể tham khảo tại đây.
Hãng bảo mật Morphisec đã đưa ra khuyến cáo trong bản điều tra của mình về nguồn gốc của các quảng cáo trả phí xuất hiện ngay trang đầu của kết quả tìm kiếm và khiến người dùng tải về các ứng dụng độc hại như AnyDesk, Dropbox và Telegram dưới dạng file ảnh định dạng ISO.
Lần này, các quảng cáo PPC của Google nhắm mục tiêu vào các IP cụ thể tại Hoa Kỳ và có thể cả một số quốc gia khác. Các IP không nằm trong tầm ngắm được điều hướng đến các trang hợp pháp để tải về các ứng dụng “chính chủ”.
Có 3 chuỗi tấn công được các nhà nghiên cứu đề cập trong báo cáo điều tra. Hai trong số đó lợi dụng Taurus và mini-Redlineare, sử dụng cùng các mô hình, chứng chỉ và các trung tâm lệnh và điều khiển (C2s), chuỗi thứ 3 lại sử dụng Redline.
Vậy tại sao những quảng cáo độc hại này lại được xuất hiện trên trang nhất của kết quả tìm kiếm trong khi Google có công nghệ và công cụ phát hiện mã độc riêng. Vấn đề này sẽ cần câu trả lời từ phía Google.
Tuy nhiên, theo các nhà nghiên cứu, tất cả các chuỗi tấn công này đều bắt đầu bằng một trong số hàng chục quảng cáo trả phí của Google dẫn đến một trang web có tải xuống hình ảnh ISO. Kích thước hình ảnh ISO lớn hơn 100MB, cho phép nó “né” được một số giải pháp rà quét được tối ưu hóa dựa trên lưu lượng và kích thước của file.
Chi tiết về bài nghiên cứu của Morphisec các bạn có thể tham khảo tại đây.
Theo Thread Post