Theo các nhà nghiên cứu, người dùng đang bị nhắm mục tiêu bởi một chiến dịch quảng cáo độc hại mới thông qua shoppingmode Google Ads để phân phối các biến thể trojan, đơn cử như Raccoon Stealer và Vidar.

Theo đó, kẻ gian sẽ mua quảng cáo từ khóa để các trang web độc hại (với vẻ ngoài đáng tin cậy) xuất hiện trên đầu kết quả tìm kiếm của shoppingmode Google. Mục tiêu cuối cùng của các cuộc tấn công như vậy là lừa người dùng tải xuống các chương trình độc hại hoặc các ứng dụng không mong muốn.

Các nhà nghiên cứu tại Guardio Labs cho biết, các tác nhân đe dọa đã tạo ra một mạng lưới các trang web được quảng bá trên công cụ tìm kiếm, khi người dùng nhấp vào, họ sẽ được chuyển hướng đến một trang web lừa đảo có chứa các tệp tin độc hại (lưu trữ trên Dropbox hoặc OneDrive).

Nhà nghiên cứu Nati Tal cho biết nói rằng chiến dịch quảng cáo độc hại này nhắm mục tiêu đến những người đang tìm kiếm các phần mềm phổ biến như AnyDesk, Dashlane, Grammarly, Malwarebytes, shoppingmode Microsoft Visual Studio, MSI Afterburner, Slack và Zoom…

Vermux được cho là nhóm đứng đằng sau chiến dịch quảng cáo độc hại, và danh sách các thương hiệu phần mềm bị lạm dụng vẫn đang tiếp tục phát triển. Hoạt động của Vermux chủ yếu nhắm mục tiêu vào người dùng Canada và Mỹ.

Tháng trước, shoppingmode Microsoft đã tiết lộ một chiến dịch tấn công tận dụng dịch vụ quảng cáo để triển khai BATLOADER, sau đó được sử dụng để phát tán phần mềm tống tiền Royal.

Kẻ gian đã sử dụng kỹ thuật quảng cáo độc hại để phân phối phần mềm độc hại IcedID thông qua các trang web giả mạo những ứng dụng nổi tiếng như Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird và TeamViewer.

“IcedID là một dòng phần mềm độc hại đáng chú ý, có khả năng phát tán thêm tải trọng khác, bao gồm Cobalt Strike và các phần mềm độc hại khác. IcedID cho phép những kẻ tấn công thực hiện theo dõi, xâm phạm toàn bộ hệ thống, chẳng hạn như đánh cắp dữ liệu và làm tê liệt ransomware”, Trend Micro cho biết vào tuần trước.

Phát hiện này cũng được đưa ra khi Cục Điều tra Liên bang Mỹ (FBI) cảnh báo rằng “tội phạm mạng đang sử dụng dịch vụ quảng cáo trên công cụ tìm kiếm để mạo danh thương hiệu và hướng người dùng đến các trang web độc hại lưu trữ ransomware, đánh cắp thông tin đăng nhập và thông tin tài chính khác”.

(theo PLO)