CyberNews, một công ty an ninh mạng Palo Alto Networks, đã cảnh báo rằng các tác nhân đe dọa đang giả mạo phần mềm VPN GlobalProtect và phân phối phần mềm độc hại cho những người tin tưởng vào kết quả đầu tiên trên Google Tìm kiếm. Đây là một sự thay đổi so với các cuộc tấn công lừa đảo truyền thống.
Theo đó, các nhà nghiên cứu bảo mật từ Unit 42, Palo Alto Networks đã phát hiện ra một chiến dịch độc hại mới vào tháng 6 năm 2024. Tận dụng thương hiệu GlobalProtect VPN, Kẻ tấn công đã đặt quảng cáo trên Google Tìm kiếm. Vì quảng cáo này xuất hiện ở đầu các kết quả tìm kiếm khác nên nó dễ dàng dụ người dùng đến một trang web độc hại.
Khi truy cập trang web này, người dùng bị lừa tải xuống trình tải phần mềm độc hại WikiLoader, có thể tải xuống các phần mềm độc hại bổ sung, đánh cắp thông tin và cung cấp cho kẻ tấn công quyền truy cập từ xa. WikiLoader đã hoạt động ít nhất từ cuối năm 2022 và đã được cập nhật “một số thủ thuật độc đáo”.
Các nhà nghiên cứu cho biết tin tặc đang chuyển từ các cuộc tấn công lừa đảo truyền thống sang đầu độc SEO (tối ưu hóa công cụ tìm kiếm), nghĩa là các trang web do kẻ tấn công kiểm soát sẽ xuất hiện trên trang đầu tiên của kết quả tìm kiếm thay vì các sản phẩm hợp pháp. Tin tặc cố gắng thực hiện điều này bằng cách mua quảng cáo hoặc cải thiện thứ hạng trang.
Các nhà nghiên cứu tại Palo Alto Networks cảnh báo rằng đầu độc SEO đang mở rộng nhóm nạn nhân của nó. Họ đã quan sát thấy một số tổ chức trong lĩnh vực giáo dục đại học và giao thông vận tải của Hoa Kỳ bị ảnh hưởng bởi WikiLoader.
Các nhà nghiên cứu vẫn nghi ngờ WikiLoader sẽ tiếp tục được sử dụng trong suốt năm 2024 và sau đó.
Link nguồn: https://cafef.vn/mot-cong-cu-ai-cung-dung-dang-day-ray-ma-doc-188240904155420434.chn