Tin tặc lạm dụng Google Ads để phát tán mã độc ngay trong các phần mềm hợp pháp

Có một xu hướng nguy hiểm đang được cộng đồng tin tặc toàn cầu triển khai, đó là lạm dụng nền tảng Google Ads để phát tán mã độc hại đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các sản phẩm phần mềm phổ biến.

Không khó để kể tên một số sản phẩm phần mềm phổ biến, thuộc nhiều lĩnh vực khác nhau đang bị hacker làm dụng để phát tán mã độc qua Google Ads. Đơn cử như các trường hợp của Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird hay Brave… Tác nhân đe dọa sẽ sao chép các trang web chính thức của những dự án phần mềm trên, và phân phối nhiều phiên bản trojan khác nhau của phần mềm khi người dùng nhấp vào nút tải xuống.

Một số phần mềm độc hại đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo cách này bao gồm một số biến thể của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID. Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng cổng MSI Afterburner giả để lây nhiễm cho người dùng bằng trình đánh cắp RedLine.

Câu hỏi đặt ra là tin tặc quảng bá cũng như thu hút người dùng truy cập các trang web giả mạo mà chúng tạo ra như thế nào? Đó là thông qua các chiến dịch quảng cáo Google Ad.

Lạm dụng quảng cáo Google

Nền tảng Google Ads giúp các nhà quảng cáo quảng bá website của mình trên Google Search, đặt chúng ở vị trí cao trong danh sách kết quả dưới dạng quảng cáo, thường là nằm trên trang web chính thức của sản phẩm/dự án.

Điều này có nghĩa là nếu bạn tìm kiếm phần mềm hợp pháp trên trình duyệt không có trình chặn quảng cáo, bạn sẽ thấy quảng cáo liên quan đến phần mềm trước tiên, và hoàn toàn có khả năng nhấp vào liên kết được quảng cáo đó vì nó trông rất giống với kết quả tìm kiếm thực tế.

Nếu Google phát hiện ra trang đích độc hại được được quảng cáo, chắc chắn nó sẽ bị chặn và quảng cáo bị xóa ngay lập tức. Vì vậy, những kẻ đe dọa cần sử dụng một thủ thuật nhỏ để vượt qua hàng rào kiểm tra tự động của Google.

Mánh khóe là lừa các nạn nhân nhấp vào quảng cáo đến một trang web không liên quan nhưng “lành tính” do tác nhân đe dọa tạo ra, sau đó chuyển hướng họ đến một trang web độc hại mạo danh dự án phần mềm và từ đó đến tải trọng độc hại.

Tải trọng độc hại, ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ lưu trữ mã và chia sẻ tệp uy tín như GitHub, Dropbox hoặc CDN của Discord. Điều này đảm bảo rằng mọi chương trình chống virus đang chạy trên hệ thống của nạn nhân sẽ không đưa ra bất cứ cảnh báo phản đối yêu cầu download tệp. Trong một chiến dịch điển hình được quan sát vào tháng 11, tin tặc đã dụ dỗ người dùng bằng phiên bản trojan của Grammarly mang đến Raccoon Stealer.

Với việc phần mềm độc hại được đóng gói cùng với phần mềm hợp pháp. Người dùng sẽ vẫn nhận được những gì họ cần, nhưng song song với đó mã độc cũng sẽ âm thầm cài đặt trên hệ thống.

Biện pháp phòng tránh

Một phương án đơn giản nhưng hiệu quả để chặn các chiến dịch độc hại kiểu này là kích hoạt trình chặn quảng cáo trên trình duyệt web của bạn. Trình chặn quảng cáo này sẽ lọc ra các kết quả được quảng cáo từ Google Tìm kiếm, giúp bạn không phải giáp mặt với chúng.

Một biện pháp phòng ngừa khác là cuộn xuống cho đến khi bạn thấy tên miền chính thức của dự án phần mềm mà mình đang tìm kiếm. Nếu không chắc chắn, bạn có thể thực hiện thêm một vài truy vấn tìm kiếm liên quan. Tên miền chính thức được liệt kê trên trang Wikipedia của phần mềm.

Nếu bạn thường xuyên truy cập trang web của một dự án phần mềm cụ thể để tìm nguồn cập nhật, thì tốt hơn hết bạn nên bookmark URL và sử dụng URL đó để truy cập trực tiếp khi cần.

Một dấu hiệu phổ biến cho thấy trình cài đặt bạn sắp tải xuống có thể chứa mã độc hại là kích thước tệp bất thường. Đây cũng là điều bạn nên để ý.