Palo Alto Networks cảnh báo công cụ AI đang dùng đầy rẫy mã độc
The CyberNews, công ty an ninh mạng Palo Alto Networks đã cảnh báo các tác nhân đe dọa đang giả mạo phần mềm VPN GlobalProtect và phân phối các phần mềm độc hại cho những người tin tưởng vào kết quả đầu tiên trên Google Search. Đây là sự thay đổi so với các cuộc tấn công lừa đảo truyền thống.
Theo đó, các nhà nghiên cứu bảo mật từ Unit 42, Palo Alto Networks phát hiện ra chiến dịch độc hại mới vào tháng 6/2024. Lợi dụng thương hiệu GlobalProtect VPN, kẻ tấn công đã đặt quảng cáo trên Google Search. Do quảng cáo này xuất hiện trên đầu các kết quả tìm kiếm khác nên dễ dàng dẫn dụ người dùng đến một trang web độc hại.
Khi truy cập vào trang web này, người dùng sẽ bị lừa tải xuống trình tải phần mềm độc hại WikiLoader. Phần mềm này có thể tải xuống các tải trọng bổ sung, đánh cắp thông tin và cung cấp cho kẻ tấn công quyền truy cập từ xa. WikiLoader đã hoạt động ít nhất là từ cuối năm 2022 và được cập nhật “một số thủ thuật độc đáo”.
Các nhà nghiên cứu cho rằng, tin tặc đang chuyển từ tấn công giả mạo (phishing) truyền thống sang tấn công qua đầu độc SEO (tối ưu hóa công cụ tìm kiếm), có nghĩa là các trang web do kẻ tấn công kiểm soát sẽ xuất hiện trên trang đầu của kết quả tìm kiếm thay vì các sản phẩm hợp pháp. Tin tặc cố gắng thực hiện điều này bằng cách mua quảng cáo hoặc cải thiện thứ hạng trang.
Quảng cáo độc hại xuất hiện trên thanh kết quả tìm kiếm của Google. (Ảnh: Unit 42).
Các nhà nghiên cứu ở Palo Alto Networks cảnh báo việc đầu độc SEO sẽ mở rộng phạm vi nạn nhân. Họ đã quan sát thấy một số tổ chức trong lĩnh vực giáo dục đại học và giao thông vận tải của Mỹ bị ảnh hưởng bởi WikiLoader.
Các nhà nghiên cứu vẫn nghi ngờ WikiLoader sẽ tiếp tục được sử dụng trong suốt năm 2024 và các năm tiếp theo.
Cục An toàn thông tin – Bộ Thông tin và Truyền thông cũng cảnh báo người dùng cảnh giác với chiêu trò lừa đảo, dẫn dụ nạn nhân tải về phần mềm có chứa mã độc bằng những quảng cáo kêu gọi, khuyến khích người dùng tải về ứng dụng Google Authenticator nhằm gia tăng bảo mật cho các thiết bị cá nhân trên không gian mạng.
Cụ thể, các đối tượng lừa đảo đã tạo lập trang web với tên miền giả mạo, chèn quảng cáo có tài trợ để khi có người tra cứu thông tin kết quả tìm kiếm được hiện lên ở đầu trang. Để khiến cho người dùng chủ quan, dễ dàng mắc bẫy, những trang web này còn chứa đựng chứng nhận giả mạo của Google.
Nếu người dùng nhấn vào các quảng cáo kể trên sẽ được chuyển hướng tới trang web giả mạo Google với đường dẫn “chromeweb-authenticators.com”. Khi người dùng kích vào, ứng dụng giả mạo sẽ được tự động tải từ dịch vụ lưu trữ mã nguồn mở Github, sau đó tấn công vào các thiết bị của nạn nhân, đánh cắp thông tin và dữ liệu quan trọng. Cục An toàn thông tin khuyến cáo, người dân đề cao cảnh giác khi tra cứu và tải về các ứng dụng bảo mật. Chỉ nên tải ứng dụng từ hệ thống cửa hàng Play Store (CH Play) đối với hệ điều hành Android và App Store đối với hệ điều hành iOS, tuyệt đối không tải về ứng dụng từ nguồn không xác định hoặc các trang web không chính thống.
Thanh Hiền (t/h)