Quảng cáo Google độc hại đẩy phần mềm quét IP giả mạo với cửa hậu ẩn

 

 Một chiến dịch malvertising mới của Google đang tận dụng một cụm tên miền bắt chước một phần mềm quét IP hợp pháp để cung cấp một backdoor chưa từng được biết đến trước đây có tên là MadMxShell.

"Tác nhân đe dọa đã đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật đánh máy và tận dụng Google Ads để đẩy các tên miền này lên đầu kết quả của công cụ tìm kiếm nhắm mục tiêu các từ khóa tìm kiếm cụ thể, từ đó thu hút nạn nhân truy cập các trang web này", các nhà nghiên cứu Roy Tay và Sudeep Singh của Zscaler ThreatLabz cho biết.

Có tới 45 tên miền được cho là đã được đăng ký từ tháng 11/2023 đến tháng 3/2024, với các trang web giả mạo là phần mềm quét cổng và quản lý CNTT như Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG và ManageEngine.

Mặc dù đây không phải là lần đầu tiên các tác nhân đe dọa sử dụng các kỹ thuật độc hại để phục vụ phần mềm độc hại thông qua các trang web tương tự, nhưng sự phát triển này đánh dấu lần đầu tiên phương tiện giao hàng được sử dụng để truyền bá một cửa hậu Windows tinh vi.

Hiện tại không có dấu hiệu nào cho thấy các nhà khai thác phần mềm độc hại bắt nguồn từ đâu hoặc ý định của họ là gì, nhưng Zscaler cho biết họ đã xác định được hai tài khoản do họ tạo ra trên các diễn đàn tội phạm ngầm như blackhatworld. com và social-eng[.] ru sử dụng địa chỉ email wh8842480@gmail[.] com, cũng được sử dụng để đăng ký một tên miền giả mạo Advanced IP Scanner.

Cụ thể, tác nhân đe dọa đã bị phát hiện tham gia vào các bài đăng cung cấp cách thiết lập tài khoản ngưỡng Google AdSense không giới hạn vào tháng 6/2023, cho thấy sự quan tâm đến việc khởi động chiến dịch quảng cáo độc hại kéo dài của riêng họ.

"Các tài khoản ngưỡng Google Ads và các kỹ thuật lạm dụng chúng thường được giao dịch trên các diễn đàn BlackHat", các nhà nghiên cứu cho biết. "Nhiều lần họ cung cấp một cách để tác nhân đe dọa thêm càng nhiều tín dụng càng tốt để chạy các chiến dịch Google Ads."

"Điều này cho phép các tác nhân đe dọa chạy các chiến dịch mà không thực sự trả tiền cho đến giới hạn ngưỡng. Giới hạn ngưỡng cao hợp lý cho phép tác nhân đe dọa chạy chiến dịch quảng cáo trong một khoảng thời gian đáng kể."

Mới hơn Cũ hơn