Một cuộc tấn công mới đã được phát hiện, nhắm vào những người dùng thiếu cảnh giác bằng cách giả danh các nhà cung cấp phần mềm đáng tin cậy.
 |
Các nhà nghiên cứu của FortiGuard Labs cho biết, kẻ tấn công đang lợi dụng các thuật toán tìm kiếm bằng các tiện ích mở rộng plugin SEO và các tên miền giả mạo đã đăng ký. Khi đã truy cập vào trang web, nạn nhân bị lừa tải xuống các trình cài đặt phần mềm độc hại ẩn nấp (trojan). Trong số các nền tảng bị khai thác có các thương hiệu nổi tiếng như Signal; WhatsApp; Deepl; Chrome; Telegram; Line; nhà cung cấp VPN; WPS Office
Các trang web lừa đảo cung cấp một số họ phần mềm độc hại, đáng chú ý nhất là Hiddengh0st và một biến thể mới của Winos. Kẻ tấn công đóng gói các thành phần độc hại vào các gói cài đặt trông giống như các ứng dụng thực sự.
Sau khi khởi chạy, trình cài đặt sẽ thả các tệp thư viện liên kết động (DLL) độc hại vào các thư mục ẩn, giành quyền quản trị viên và thực thi các chức năng được thiết kế để tránh bị phát hiện.
Phần mềm độc hại cho phép kẻ tấn công thực hiện các thao tác sau:
Thu thập thông tin chi tiết về hệ thống và nạn nhân
Liệt kê các công cụ chống vi-rút và bảo mật
Ghi lại các lần nhấn phím và dữ liệu clipboard
Ghi lại tiêu đề cửa sổ nền và hoạt động trên màn hình
Tải thêm plugin để giám sát và kiểm soát mở rộng
Các plugin được phần mềm độc hại cung cấp cũng cho thấy kẻ tấn công có khả năng chặn các liên lạc Telegram.
“Ngộ độc” tối ưu hóa tìm kiếm trang web là một mối nguy hiểm nghiêm trọng
Chiến dịch này góp phần làm gia tăng nạn ngộ độc tối ưu hóa trang web (SEO), một kỹ thuật liên quan đến việc thao túng các công cụ tìm kiếm để đưa các trang web lừa đảo lên đầu kết quả. Với kỹ thuật tấn công này, ngay cả những người dùng cảnh giác, những người luôn bám vào thứ hạng tìm kiếm có vẻ "đáng tin cậy" cũng có thể bị bất ngờ.
Theo báo cáo, chiến dịch chủ yếu nhắm vào người dùng đến từ Trung Quốc. Các nhà nghiên cứu của FortiGuard Labs viết: "Các trình cài đặt chứa cả ứng dụng hợp pháp và phần mềm độc hại, khiến người dùng khó phát hiện ra sự lây nhiễm".
"Ngay cả các kết quả tìm kiếm được xếp hạng cao cũng bị lợi dụng theo cách này, điều này nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng tên miền trước khi tải xuống phần mềm."
Nghiên cứu trước đây của các chuyên gia thuộc Cisco Talos đã xác định một số chiến dịch đầu độc SEO, trong đó kẻ tấn công sử dụng các ứng dụng trí tuệ nhân tạo (AI) phổ biến để dụ nạn nhân. Nhiều băng nhóm cài đặt mã độc tống tiền (ransomware) đã ngụy trang phần mềm độc hại của chúng bằng các nền tảng như ChatGPT hoặc InVideo.
Một chiến dịch lừa đảo khác đã khai thác PayPal, Apple, Bank of America, Netflix và Microsoft. Tội phạm mạng đã mua quảng cáo được tài trợ trên Google, giả mạo là một thương hiệu lớn. Quảng cáo dẫn nạn nhân đến các trang web giả mạo, tại đây họ bị yêu cầu tải xuống phần mềm độc hại.
Hà Linh
Bình luận