Một nhà nghiên cứu đã phát hiện ra một phương pháp mới sử dụng các trang web dễ bị tấn công để phân phối quảng cáo độc hại, được nhắm mục tiêu đến người dùng công cụ tìm kiếm, có khả năng tạo ra một cơn sóng thần phần mềm độc hại có thể khiến nạn nhân hoàn toàn choáng ngợp.
Điều quan trọng là “quảng cáo tìm kiếm động”, một tính năng trong đó Google sử dụng nội dung của trang đích trên trang web để ghép các quảng cáo được nhắm mục tiêu với các tìm kiếm. TRONG một bài đăng trên blog ngày 30 tháng XNUMX, Jerome Segura, giám đốc cấp cao về tình báo mối đe dọa tại Malwarebytes, đã mô tả cách kẻ tấn công sử dụng quảng cáo phần mềm giả mạo trên một trang web bị xâm nhập để lợi dụng tính năng này, nhắm mục tiêu người dùng công cụ tìm kiếm.
Và đáng chú ý là tất cả đều có thể là ngẫu nhiên.
“Tôi nghĩ bản thân quảng cáo này thực sự khá tình cờ, theo cách nó được tạo ra. Thực tế là tôi đã nhìn thấy nó [trong một tìm kiếm trên Google], tôi không nghĩ kẻ đe dọa đã lên kế hoạch cho việc đó chút nào,” Segura thừa nhận.
Quảng cáo độc hại với quảng cáo tìm kiếm động
Segura nhớ lại: “Tôi không nhìn thấy trang web trước tiên mà nhìn thấy quảng cáo đầu tiên. Anh ấy đang tìm kiếm những từ khóa phổ biến được tin tặc sử dụng - thường là những quảng cáo giả mạo cho các ứng dụng văn phòng, phần mềm giám sát từ xa, v.v. Trong trường hợp này, từ khóa là “PyCharm”, môi trường phát triển cho lập trình Python.
Việc tìm kiếm mang lại kết quả được tài trợ như sau:
Mặc dù dòng tiêu đề khớp với tìm kiếm của anh ấy nhưng đoạn trích dường như được lấy từ một trang web tổ chức đám cưới. Và thông qua Trung tâm minh bạch quảng cáo của Google, rõ ràng là nội dung khác của trang web đều liên quan đến đám cưới chứ không phải Python.
“Trong hầu hết các quảng cáo mà tôi thấy về việc tải xuống phần mềm độc hại, nội dung đều khớp với tiêu đề. Vì vậy, tác nhân đe dọa thực sự đã nỗ lực tạo quảng cáo từ đầu: họ sử dụng tài khoản của nhà quảng cáo bị xâm nhập và họ tạo quảng cáo có URL phù hợp, mô tả phù hợp và tất cả những điều đó không xảy ra ở đây. Vì vậy tôi nghĩ: Tại sao ai đó lại tạo một tiêu đề không phù hợp với mô tả?” Segura nhớ lại.
Hóa ra một số trang trong trang web tổ chức đám cưới bị bỏ quên đã bị tiêm phần mềm độc hại tạo thư rác.
Phần mềm độc hại viết lại tiêu đề của các trang này và hiển thị cho khách truy cập một cửa sổ bật lên khóa nối tiếp PyCharm độc hại. Tệ hơn nữa, tính năng quảng cáo động của Google đã phát hiện ra nội dung độc hại và đó là cách nó được quảng cáo cho Segura.
Segura giải thích trên blog của mình rằng nếu một khách truy cập vô tình nhấp vào liên kết bật lên PyCharm, họ sẽ gặp phải “một loạt vụ lây nhiễm phần mềm độc hại giống như chúng ta chỉ thấy trong một số trường hợp hiếm hoi, khiến máy tính hoàn toàn không thể sử dụng được”. Ông suy đoán rằng kẻ tấn công có thể đã cố gắng kiếm tiền từ nhiều lượt tải xuống phần mềm độc hại nhất có thể để thanh toán hoa hồng cho tội phạm mạng.
Bảo mật cho các trang web doanh nghiệp nhỏ và người dùng của họ
Đối với những tin tặc muốn lợi dụng các trang web của doanh nghiệp vừa và nhỏ cho mục đích riêng của mình, có vô số lựa chọn tiềm năng chỉ đơn giản là chờ đợi.
Segura giải thích, vấn đề là “thông thường các chủ doanh nghiệp không tự mình tạo ra nó. Họ thuê một đại lý Web để tạo trang web cho họ vào một thời điểm cụ thể, sau đó đại lý Web sẽ phân phối sản phẩm và thế là xong. Không có sự theo dõi nào cả.” Các doanh nghiệp có thể tiếp tục sử dụng trang web nhưng không quan tâm đến nó ở phần phụ trợ.
“Vì vậy, điều xảy ra là bản thân WordPress cốt lõi đã trở nên lỗi thời. Và khi đó bất kỳ plugin nào có thể đã được sử dụng cũng trở nên lỗi thời. Và lỗi thời thường không chỉ áp dụng cho các tính năng mà còn cho các bản vá bảo mật. Vì vậy, những trang web đó chỉ là công cụ cho bất kỳ ai thu thập toàn bộ dải IP và sau đó chỉ là sự xâm phạm hàng loạt,” ông nói.
Segura cho rằng, khi các doanh nghiệp có thể thiếu tài nguyên hoặc phương tiện để duy trì bảo mật phù hợp, Google ít nhất có thể giúp người dùng công cụ tìm kiếm tránh rơi vào bẫy bằng cách gắn cờ các trường hợp trong đó quảng cáo được nhắm mục tiêu và nội dung trang web khác nhau đáng kể.
“Trong trường hợp này là một trang web đám cưới và một quảng cáo cho một phần mềm. Tôi đã thấy một ví dụ khác cũng khá rõ ràng: đối với một phần mềm khác và nhà quảng cáo là một nhà hàng. Đó sẽ là một dấu hiệu ngay lập tức đối với Google, bởi vì nó thực sự không phù hợp với những gì công ty làm,” ông kết luận.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/endpoint/google-dynamic-search-ads-malware-deluge
