Các cá nhân nói tiếng Trung Quốc ở Đông Nam Á và Đông Á là mục tiêu của một chiến dịch Google Ads giả mạo mới cung cấp trojan truy cập từ xa như FatalRAT cho các máy bị xâm nhập.
Các cuộc tấn công liên quan đến việc mua các vị trí quảng cáo để xuất hiện trong kết quả tìm kiếm của Google và hướng người dùng đang tìm kiếm các ứng dụng phổ biến đến các trang web giả mạo lưu trữ trình cài đặt trojan, ESET cho biết trong một báo cáo được công bố hôm nay.
Hiện các quảng cáo đã được gỡ xuống.
Một số ứng dụng giả mạo bao gồm Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao và WPS Office.
Công ty an ninh mạng Slovakia cho biết : “Các trang web và trình cài đặt được tải xuống từ chúng hầu hết bằng tiếng Trung Quốc và trong một số trường hợp, cung cấp sai phiên bản tiếng Trung của phần mềm không có sẵn ở Trung Quốc” .
Phần lớn các nạn nhân sống ở Đài Loan, Trung Quốc và Hồng Kông, tiếp theo là Malaysia, Nhật Bản, Philippines, Thái Lan, Singapore, Indonesia và Myanmar. Mục tiêu cuối cùng của những kẻ tấn công vẫn chưa rõ ràng.
Khía cạnh quan trọng nhất của các cuộc tấn công là tạo ra các trang web tương tự với các miền được g4 phím sai để truyền bá trình cài đặt độc hại, trong nỗ lực duy trì mưu mẹo, cài đặt phần mềm hợp pháp, nhưng cũng bỏ một trình tải triển khai FatalRAT.
Khi làm như vậy, nó cấp cho kẻ tấn công toàn quyền kiểm soát máy tính nạn nhân, bao gồm thực thi các lệnh shell tùy ý, chạy tệp, thu thập dữ liệu từ trình duyệt web và ghi lại các lần nhấn phím (keylogger).
Các nhà nghiên cứu cho biết: “Những kẻ tấn công đã dành một số nỗ lực liên quan đến tên miền được sử dụng cho trang web của họ, cố gắng giống với tên chính thức nhất có thể”. “Các trang web giả mạo, trong hầu hết các trường hợp, là bản sao giống hệt của các trang web hợp pháp.”
Các phát hiện được đưa ra chưa đầy một năm sau khi Trend Micro tiết lộ một chiến dịch Purple Fox tận dụng các gói phần mềm bị nhiễm độc bắt chước Adobe, Google Chrome, Telegram và WhatsApp như một phương tiện truyền bá FatalRAT.
Chúng cũng xuất hiện trong bối cảnh quảng cáo Google bị lạm dụng rộng rãi hơn để phân phát nhiều loại phần mềm độc hại hoặc cách khác, đưa người dùng đến các trang lừa đảo thông tin xác thực.
Trong một sự phát triển có liên quan, Symantec, một phần của Phần mềm Broadcom, đã làm sáng tỏ một chiến dịch phần mềm độc hại “rất nhỏ” và “có mục tiêu” sử dụng một phần mềm cấy ghép dựa trên .NET không có giấy tờ trước đây có tên là Frebniis. Các cuộc tấn công được ước tính là “ít hơn một số ít” và “rất tập trung vào Đài Loan.”
Symantec cho biết : “Kỹ thuật mà Frebniis sử dụng liên quan đến việc tiêm mã độc vào bộ nhớ của tệp DLL (iisfreb.dll) liên quan đến tính năng IIS được sử dụng để khắc phục sự cố và phân tích các yêu cầu trang web bị lỗi” .
“Điều này cho phép phần mềm độc hại theo dõi lén lút tất cả các yêu cầu HTTP và nhận ra các yêu cầu HTTP được định dạng đặc biệt do kẻ tấn công gửi, cho phép thực thi mã từ xa.”
Công ty an ninh mạng, cho biết các vụ xâm nhập là do một tác nhân không xác định, cho biết hiện tại họ không biết làm thế nào để có được quyền truy cập vào máy Windows chạy máy chủ Dịch vụ thông tin Internet ( IIS ).
THN – An Toàn Thông Tin EDU VN (Security365)
Trả lời