Nhiều phần mềm MSI Afterburner, Bitwarden, Grammarly, Blender, Gimp, Adobe Reader, Microsoft Teams, OBS, Slack, Thunderbird đang là công cụ giúp hacker phát tán mã độc lên thiết bị người dùng.
Các phần mềm Google như MSI Afterburner, Bitwarden, Grammarly, Blender, Gimp, Adobe Reader, Microsoft Teams, OBS, Slack, Thunderbird và nhiều phần mềm khác gần đây đưa ra các kết quả tìm kiếm được quảng cáo do hacker kiểm soát. Các chiến dịch quảng cáo độc hại mạo danh những phần mềm đó đã "làm loạn" Google Ads kể từ đầu tháng 12/2022.
Google Ads là nền tảng giúp các nhà quảng cáo quảng bá website của mình trên Google Search và đặt chúng lên vị trí cao nhất trong danh sách kết quả dưới dạng quảng cáo. Điều này có nghĩa nếu người dùng đang kiếm một ứng dụng, phần mềm hợp pháp trên trình duyệt không có trình chặn quảng cáo, họ sẽ thấy quảng cáo liên quan đến ứng dụng đầu tiên và nhấp vào liên kết được quảng cáo đó vì nó trông giống với kết quả tìm kiếm thực tế.
Tuy nhiên, với cách này hacker đã tìm ra cách đưa nạn nhân đến phần mềm độc hại từ kết quả tìm kiếm tránh sự phát hiện của Google. Các tin tặc đã tạo ra một mạng lưới các trang web được quảng bá trên công cụ tìm kiếm, khi người dùng nhấp vào sẽ được chuyển hướng đến một trang web lừa đảo chứa các tệp tin và payload độc hại (lưu trữ trên Dropbox hoặc OneDrive)”.
Payload độc hại sẽ ở dạng ZIP hoặc MSI, được tải xuống từ các dịch vụ như GitHub, Dropbox,.. Điều này đảm bảo các chương trình anti-viruss đang hoạt động trên thiết bị của bạn không đưa ra bất cứ cảnh báo hoặc ngăn chặn việc tải phần mềm xuống.
Theo Guardio Labs, chiến dịch phát tán mã độc này nhắm đến những người dùng nhẹ dạ, thiếu kiến thức bảo mật đang tìm kiếm các phần mềm. Các tin tặc sẽ copy các trang web chính thức của những ứng dụng trên và phân phối nhiều phiên bản trojan khác nhau khi người dùng nhấp vào nút tải xuống.
Một số mã độc đã được ghi nhận lây nhiễm thành công đến hệ thống nạn nhân theo kỹ thuật này, bao gồm một số phiên bản của Raccoon Stealer, phiên bản tùy chỉnh của Vidar Stealer và trình tải phần mềm độc hại IcedID.
Chúng phát tán thông qua các chiến dịch động hại quy mô lớn, có thể diễn ra trên phạm vi toàn cầu. Chẳng hạn như chiến dịch sử dụng MSI Afterburner giả mạo để lây nhiễm cho người dùng bằng trình đánh cắp thông tin RedLine.
Đây không phải là lần đầu tiên Google Ads bị lạm dụng để phát tán phần mềm độc hại. Vào tháng 11/2022, Microsoft đã tiết lộ một chiến dịch tấn công sử dụng dịch vụ quảng cáo để triển khai BATLOADER, sau đó được sử dụng để phát tán phần mềm tống tiền Royal.
Sau đó, FBI cũng đưa ra cảnh báo cho người dùng và cho biết trình chặn quảng cáo là một giải pháp hiệu quả nhưng gây tranh cãi. Nếu bạn phải sử dụng công cụ tìm kiếm để tìm phần mềm tải xuống, hãy tránh nhấp vào kết quả có từ "quảng cáo" bên cạnh.