Chiến dịch MasquerAds

Theo các nhà nghiên cứu của công ty an ninh mạng Guardio Labs, chiến dịch có tên gọi là “MasquerAds”, đồng thời cho biết “Vermux” được cho là nhóm tin tặc đứng đằng sau chiến dịch quảng cáo độc hại này, lưu ý rằng danh sách các chương trình và ứng dụng bị lạm dụng vẫn đang tiếp tục phát triển. Hoạt động của Vermux chủ yếu nhắm mục tiêu vào người dùng Canada và Mỹ.

Chiến dịch phát tán mã độc này nhắm đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các chương trình, ứng dụng phổ biến, ví dụ như Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird hay Brave,…

Cách thức hoạt động trong chiến dịch MasquerAds

Theo đó, tin tặc sẽ mua quảng cáo từ khóa để các trang web độc hại với vẻ ngoài đáng tin cậy xuất hiện trên đầu kết quả tìm kiếm của Google. Mục tiêu cuối cùng của các cuộc tấn công như vậy là đánh lừa người dùng tải xuống các chương trình độc hại hoặc các ứng dụng không mong muốn.

Các tin tặc sẽ sao chép các trang web chính thức của những ứng dụng trên và phân phối nhiều phiên bản trojan khác nhau khi người dùng nhấp vào nút tải xuống. Một số mã độc đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo kỹ thuật này, bao gồm một số biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID. Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng MSI Afterburner giả mạo để lây nhiễm cho người dùng bằng trình đánh cắp thông tin RedLine.

Lạm dụng quảng cáo Google Ads

Nền tảng Google Ads giúp các nhà quảng cáo quảng bá website của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường là nằm trên trang web chính thức của sản phẩm. Điều này có nghĩa là nếu người dùng đang tìm kiếm ứng dụng hợp pháp trên trình duyệt không có trình chặn quảng cáo, họ sẽ thấy quảng cáo liên quan đến ứng dụng đầu tiên, đồng thời có khả năng nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.

Nếu Google phát hiện ra trang đích độc hại được được quảng cáo, nó sẽ bị chặn và quảng cáo bị xóa ngay lập tức. Vì vậy, các tin tặc cần sử dụng một phương thức khác để vượt qua kỹ thuật kiểm tra tự động của Google.

Guardio Labs cho biết: “Các tin tặc đã tạo ra một mạng lưới các trang web được quảng bá trên công cụ tìm kiếm, khi người dùng nhấp vào thì họ sẽ được chuyển hướng đến một trang web lừa đảo chứa các tệp tin và payload độc hại (lưu trữ trên Dropbox hoặc OneDrive)”.

Một số trang web đích và lừa đảo được sử dụng trong các chiến dịch

Các payload độc hại ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ và chia sẻ tệp phổ biến như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng các chương trình anti-virus đang hoạt động trên hệ thống của người dùng sẽ không đưa ra bất cứ cảnh báo hay ngăn chặn nào đến với việc tải xuống.

Các nhà nghiên cứu tại Guardio Labs cho biết trong một chiến dịch điển hình được họ quan sát vào tháng 11/2022, tin tặc đã dụ dỗ người dùng bằng phiên bản trojan của Grammarly sử dụng mã độc Raccoon Stealer.

Luồng lây nhiễm của mã độc Raccoon Stealer

Đây không phải là lần đầu tiên nền tảng Google Ads được các tin tặc lạm dụng để phát tán mã độc. Tháng 11/2022, Microsoft đã tiết lộ một chiến dịch tấn công sử dụng dịch vụ quảng cáo để triển khai BATLOADER, sau đó được sử dụng để phát tán phần mềm tống tiền Royal.

Ngoài BATLOADER, tin tặc cũng đã sử dụng các kỹ thuật quảng cáo độc hại để phân phối mã độc IcedID thông qua các trang web giả mạo các ứng dụng nổi tiếng như Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird và TeamViewer. “IcedID là một dòng mã độc đáng chú ý có khả năng phân phối các payload khác, bao gồm cả Cobalt Strike. Mã độc này cho phép tin tặc thực hiện các cuộc tấn công theo dõi dẫn đến khả năng xâm phạm toàn bộ hệ thống, chẳng hạn như đánh cắp dữ liệu của người dùng”, Trend Micro cho biết.

Các phát hiện này cũng được đưa ra khi Cục Điều tra Liên bang Hoa Kỳ (FBI) cảnh báo rằng: “Tin tặc đang sử dụng các dịch vụ quảng cáo trên công cụ tìm kiếm để mạo danh thương hiệu và hướng người dùng đến các trang web độc hại lưu trữ mã độc tống tiền và đánh cắp thông tin đăng nhập cũng như thông tin tài chính khác”.

Biện pháp phòng tránh

Dấu hiệu phổ biến cho thấy trình cài đặt tải xuống có thể chứa mã độc hại là kích thước tệp bất thường. Đây cũng là điều người dùng nên chú ý.

Cách thức khá hiệu quả nhất để ngăn chặn các chiến dịch độc hại như thế này là kích hoạt trình chặn quảng cáo trên trình duyệt web của người dùng. Các trình chặn quảng cáo này sẽ lọc ra các kết quả được quảng cáo từ Google Search.

Bên cạnh đó, các chuyên gia bảo mật khuyến cáo nếu thường xuyên truy cập trang web của một phần mềm cụ thể để tìm nguồn cập nhật, thì người dùng nên đánh dấu bookmark URL để lưu trữ và sử dụng URL đó truy cập trực tiếp nếu cần.