t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
Trình duyệt Brave bị mạo danh phát tán mã độc qua Google Ads
Mới đây, những kẻ tấn công bị phát hiện khi sử dụng quảng cáo Google để quảng bá trang web chứa phần mềm độc hại, mạo danh trang web chính thức của trình duyệt Brave.
Với việc truy cập vào bản sao này, người dùng khuyến khích cài đặt phần mềm độc hại truy cập từ xa với cái tên ArechClient hoặc SectopRat. Google cũng đã xóa các quảng cáo độc hại sau khi nhóm Brave hợp pháp báo cáo vấn đề này.
Tên miền độc hại sử dụng ký tự Unicode để phân biệt chính nó: Mặc dù tích hợp sẵn công cụ Brave Shield, cuộc tấn công được phát triển bằng cách đăng ký tên miền xn--brav-yva.com. Đây là một chuỗi ký tự ASCII được mã hóa được chuyển thành tên miền Unicode bravė.com và xuất hiện như một tên miền hợp pháp.
Punnycode chuyển đổi tên miền ASCII thành URL Unicode: Chuỗi ký tự ASCII được mã hóa có thể được dịch sang tên miền dựa trên Unicode bằng phương pháp biểu diễn gọi là punycode.
Nhấn "Download" sẽ tải về 303 MB mã độc:
Hình ảnh cho thấy trình duyệt đã bắt đầu tải xuống tập tin có kích thước 303MB và chứa một tệp thực thi duy nhất. Chúng ngay lập tức được gắn cờ bởi tám công cụ chống vi-rút trên VirusTotal.
Kẻ xấu có thể truy cập từ xa vào máy tính của bạn: Một phân tích vào tháng 2 đã phát hiện ra mã độc hiện có tính năng liên lạc được mã hóa với các máy chủ điều khiển và chỉ huy do kẻ tấn công kiểm soát. Nó cũng có thể lấy cắp lịch sử trình duyệt từ các trình duyệt dựa trên Chromium, bao gồm cả Firefox và Chrome.
Địa chỉ IP bị phát hiện giả mạo Signal, Telegram:
Phát hiện cho thấy IP lưu trữ trang web Brave giả mạo cũng đã lưu trữ các tên miền mạo danh các dịch vụ nhắn tin Signal và Telegram. Các miền đã được đăng ký thông qua NameCheap, phân tích sâu hơn chỉ ra các miền được phát hiện mạo danh torbrowser.com và flightimulator.com.
Các link độc hại được nhúng trong quảng cáo của Google:
Các liên kết quảng cáo được cho là đã chuyển hướng qua một số tên miền trung gian cho đến khi được đưa đến trang web bravė.com giả mạo. Google đã gỡ chúng theo yêu cầu của hãng Brave.
Làm sao để tránh các link độc hại như vậy:
Hãy bỏ ra vài giây để kiểm tra tên miền URL trước khi truy cập. Mặt khác không nên sử dụng các đường link được gắn mác "tài trợ" trong kết quả "Tìm kiếm" để truy cập.
Với việc truy cập vào bản sao này, người dùng khuyến khích cài đặt phần mềm độc hại truy cập từ xa với cái tên ArechClient hoặc SectopRat. Google cũng đã xóa các quảng cáo độc hại sau khi nhóm Brave hợp pháp báo cáo vấn đề này.
Tên miền độc hại sử dụng ký tự Unicode để phân biệt chính nó: Mặc dù tích hợp sẵn công cụ Brave Shield, cuộc tấn công được phát triển bằng cách đăng ký tên miền xn--brav-yva.com. Đây là một chuỗi ký tự ASCII được mã hóa được chuyển thành tên miền Unicode bravė.com và xuất hiện như một tên miền hợp pháp.
Punnycode chuyển đổi tên miền ASCII thành URL Unicode: Chuỗi ký tự ASCII được mã hóa có thể được dịch sang tên miền dựa trên Unicode bằng phương pháp biểu diễn gọi là punycode.
Nhấn "Download" sẽ tải về 303 MB mã độc:
Hình ảnh cho thấy trình duyệt đã bắt đầu tải xuống tập tin có kích thước 303MB và chứa một tệp thực thi duy nhất. Chúng ngay lập tức được gắn cờ bởi tám công cụ chống vi-rút trên VirusTotal.
Kẻ xấu có thể truy cập từ xa vào máy tính của bạn: Một phân tích vào tháng 2 đã phát hiện ra mã độc hiện có tính năng liên lạc được mã hóa với các máy chủ điều khiển và chỉ huy do kẻ tấn công kiểm soát. Nó cũng có thể lấy cắp lịch sử trình duyệt từ các trình duyệt dựa trên Chromium, bao gồm cả Firefox và Chrome.
Địa chỉ IP bị phát hiện giả mạo Signal, Telegram:
Phát hiện cho thấy IP lưu trữ trang web Brave giả mạo cũng đã lưu trữ các tên miền mạo danh các dịch vụ nhắn tin Signal và Telegram. Các miền đã được đăng ký thông qua NameCheap, phân tích sâu hơn chỉ ra các miền được phát hiện mạo danh torbrowser.com và flightimulator.com.
Các link độc hại được nhúng trong quảng cáo của Google:
Các liên kết quảng cáo được cho là đã chuyển hướng qua một số tên miền trung gian cho đến khi được đưa đến trang web bravė.com giả mạo. Google đã gỡ chúng theo yêu cầu của hãng Brave.
Làm sao để tránh các link độc hại như vậy:
Hãy bỏ ra vài giây để kiểm tra tên miền URL trước khi truy cập. Mặt khác không nên sử dụng các đường link được gắn mác "tài trợ" trong kết quả "Tìm kiếm" để truy cập.
Theo Newsbytesapp
Chỉnh sửa lần cuối bởi người điều hành: