Theo các nhà nghiên cứu bảo mật, có ít nhất một người dùng nổi bật trong lĩnh vực tiền điện tử đã trở thành nạn nhân của kẻ gian.
Cụ thể, cuối tuần qua Alex (một người nổi tiếng trong lĩnh vực tiền điện tử) đã tìm kiếm phần mềm phát trực tiếp video Open Broadcaster Software (OBS) và tải xuống thông qua một quảng cáo trong kết quả tìm kiếm của Google.
“Không có gì xảy ra khi tôi nhấp vào tệp tin .exe”, Alex chia sẻ trong một tweet trên Twitter. Tuy nhiên vài giờ sau tài khoản của anh đã bị tin tặc tấn công, tất cả tài sản tiền điện tử kỹ thuật số đã bị đánh cắp và mất quyền kiểm soát tài khoản cá nhân lẫn chuyên nghiệp.
Alex không hề hay biết đây có thể là một phần mềm độc hại, đánh cắp mật khẩu trình duyệt, cookie, mã thông báo Discord và ví tiền điện tử đã lưu rồi gửi chúng cho tin tặc.
Mặc dù đây không phải là một chiến lược mới, nhưng kẻ gian dường như đang sử dụng chiêu trò này thường xuyên hơn. Vào tháng 10 năm ngoái, BleepingComputer cũng đã từng đề cập đến một chiến dịch lớn nhắm đến hơn 20 thương hiệu để đánh lừa người dùng.
Phương pháp phân phối phần mềm độc hại vào thời điểm đó chưa được báo cáo chi tiết, tuy nhiên, công ty an ninh mạng Trend Micro và Guardio đã tiết lộ rằng tin tặc đang lạm dụng nền tảng Google Ads để phát tán phần mềm độc hại trong kết quả tìm kiếm.
Ngoài phần mềm OBS, kẻ gian còn tạo ra các trang web giả mạo có tên miền gần giống với Rufus (công cụ tạo bộ cài USB phổ biến hiện nay). Bên cạnh đó còn có Notepad++ (một phần mềm mã nguồn mở), 7-ZIP, WinRAR, trình phát đa phương tiện VLC…
Nhà nghiên cứu bảo mật Will Dormann đã phát hiện ra rằng các bản tải xuống Notepad++ giả mạo trong phần quảng cáo trên Google đều được đánh dấu độc hại bởi các công cụ chống virus trên VirusTotal.
BleepingComputer cũng tìm thấy một trang web chứa đầy các bản tải xuống phần mềm giả mạo chỉ được phân phối thông qua kết quả tìm kiếm Google Ads. Trang web mạo danh một công ty thiết kế web hợp pháp ở Ấn Độ có tên là Zensoft Tech.
Một số nhà nghiên cứu bảo mật (mdmck10, MalwareHunter Team, Will Dormann, Germán Fernández) đã phát hiện thêm các URL lưu trữ các phần mềm độc hại, xác nhận rằng việc thu hút người dùng thông qua các quảng cáo trên Google là cách tiếp cận phổ biến với tội phạm mạng.
Germán Fernández của công ty an ninh mạng CronUp cung cấp danh sách 70 tên miền đang phân phối phần mềm độc hại thông qua kết quả tìm kiếm Google Ads bằng cách mạo danh phần mềm hợp pháp.
Để hạn chế bị mất tài khoản, người dùng chỉ nên tải phần mềm trên trang web chính thức của nhà sản xuất, không nên nhấp vào các kết quả tìm kiếm nằm trên đầu (có chữ được tài trợ hoặc quảng cáo).
An An