Tin tặc đang lợi dụng Google và các nền tảng quảng cáo để phát tán mã độc dưới dạng phần mềm phổ biến như ChatGPT, Zoom, Microsoft Office...
Trong những tháng gần đây, nhiều người dùng, đặc biệt là tại các doanh nghiệp vừa và nhỏ đã vô tình tải về các phần mềm độc hại vì bị đánh lừa bởi trang web giả mạo hiển thị trên top tìm kiếm Google. Đây là chiến thuật SEO poisoning, tạm hiểu là “đầu độc kết quả tìm kiếm”.
Kẻ xấu tạo ra các trang web trông như thật, chứa liên kết tải về các công cụ quen thuộc như PuTTY, WinSCP, ChatGPT, Zoom, Microsoft Teams... Tuy nhiên, khi người dùng tải về và cài đặt, một loại mã độc có tên Oyster hoặc Lumma Stealer sẽ âm thầm được cài vào máy.
Trong thời đại AI bùng nổ, người dùng dễ bị hấp dẫn bởi những công cụ thông minh, tiện lợi. Nhưng chính điều đó lại trở thành mồi ngon cho tin tặc, khi các phần mềm giả mạo ngày càng tinh vi và khó phân biệt.
Theo chuyên gia WhiteHat, để bảo vệ mình khỏi các chiến dịch phát tán mã độc ẩn sau công cụ giả, người dùng cần ghi nhớ một số nguyên tắc cơ bản nhưng cực kỳ quan trọng:
Trong những tháng gần đây, nhiều người dùng, đặc biệt là tại các doanh nghiệp vừa và nhỏ đã vô tình tải về các phần mềm độc hại vì bị đánh lừa bởi trang web giả mạo hiển thị trên top tìm kiếm Google. Đây là chiến thuật SEO poisoning, tạm hiểu là “đầu độc kết quả tìm kiếm”.
Kẻ xấu tạo ra các trang web trông như thật, chứa liên kết tải về các công cụ quen thuộc như PuTTY, WinSCP, ChatGPT, Zoom, Microsoft Teams... Tuy nhiên, khi người dùng tải về và cài đặt, một loại mã độc có tên Oyster hoặc Lumma Stealer sẽ âm thầm được cài vào máy.
Những con số biết nói
- Từ tháng 1 đến tháng 4/2025, hơn 8.500 người dùng SMB bị nhắm đến qua các phần mềm giả mạo
- Zoom chiếm 41% số tệp mã độc được ngụy trang, tiếp theo là Outlook và PowerPoint (16%), Excel (12%), Word (9%) và Teams (5%)
- Mã độc giả mạo ChatGPT tăng vọt 115% chỉ trong 4 tháng đầu năm
Cách thức tấn công diễn ra như thế nào?
- Giả mạo phần mềm quen thuộc
Trang web giả thường sao chép giao diện giống hệt trang chính thức. Một số tên miền bị phát hiện gồm:- putty.run
- puttyy.org
- updaterputty.com
- Lừa tải về tệp ZIP mã độc
Khi truy cập, trình duyệt người dùng bị kiểm tra có dùng adblock không, sau đó bị chuyển hướng đến trang lừa đảo chứa tệp ZIP được đặt mật khẩu. Bên trong là bộ cài giả có kích thước lớn (khoảng 800MB) để qua mặt phần mềm diệt virus. - Cài mã độc vào hệ thống
- Trên Windows: Dùng tập lệnh .bat, .dll, hoặc công cụ AutoIt để cài mã độc Lumma, Vidar hoặc RedLine.
- Trên macOS: Phân phối Poseidon Stealer.
- Một số loại mã độc còn có khả năng lấy cắp ví tiền điện tử, thông tin tài khoản, key đăng nhập và ghi lại thao tác bàn phím.
Chiến dịch quảng cáo giả trên Facebook và Google
Không chỉ giới hạn ở kết quả tìm kiếm Google, tin tặc còn lợi dụng quảng cáo Facebook, giả mạo dưới dạng:- Ứng dụng Pi Network
- Cửa hàng online giả mạo thương hiệu lớn
- Số điện thoại tổng đài hỗ trợ giả
Góc nhìn của chuyên gia
Theo chuyên gia bảo mật của Bitdefender và Arctic Wolf, việc lợi dụng AI và các thương hiệu nổi tiếng để phát tán mã độc không mới nhưng ngày càng tinh vi hơn: Tin tặc hiểu rằng người dùng có xu hướng tin vào kết quả đầu tiên trên Google hoặc quảng cáo có logo thương hiệu quen thuộc. Chúng lợi dụng điều đó để lừa cài phần mềm giả, cướp dữ liệu mà người dùng không hề hay biết.Trong thời đại AI bùng nổ, người dùng dễ bị hấp dẫn bởi những công cụ thông minh, tiện lợi. Nhưng chính điều đó lại trở thành mồi ngon cho tin tặc, khi các phần mềm giả mạo ngày càng tinh vi và khó phân biệt.
Theo chuyên gia WhiteHat, để bảo vệ mình khỏi các chiến dịch phát tán mã độc ẩn sau công cụ giả, người dùng cần ghi nhớ một số nguyên tắc cơ bản nhưng cực kỳ quan trọng:
- Chỉ tải phần mềm từ trang chính thức
- Kiểm tra kỹ tên miền vì nhiều website giả chỉ khác một ký tự
- Không nhấp vào quảng cáo trôi nổi, nhất là từ Google Ads hoặc Facebook Marketplace
- Luôn cài phần mềm diệt virus và cập nhật thường xuyên
- Tích hợp IOC và detection rule từ Arctic Wolf, Kaspersky... vào hệ thống SIEM/EDR để nâng cao khả năng phát hiện sớm mã độc
- Chặn các domain giả mạo đã bị nhận diện là công cụ trong chiến dịch SEO Poisoning
- Rà soát hệ thống các file .exe, .msi, .zip tải về từ nguồn không chính thống, đặc biệt là các tệp có kích thước bất thường hoặc được nén với mật khẩu
- Giám sát và cảnh báo các hành vi bất thường, bao gồm: quá trình rundll32 không rõ nguồn gốc, AutoIt script, scheduled task đáng ngờ
Theo whitehat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
