Phát tán mã độc qua Google Tìm kiếm
Theo Cyber News, công ty bảo mật Palo Alto Networks đã đưa ra cảnh báo về việc phán tán mã độc thông qua công cụ Google Search (Google Tìm Kiếm - PV).
Theo đó, các đối tượng tấn công đang giả mạo phần mềm VPN GlobalProtect và phát tán mã độc đến những người dùng tin tưởng vào các kết quả tìm kiếm đầu tiên trên Google. Đây là hình thức tấn công tương đối mới, chuyển dịch từ các cuộc tấn công lừa đảo truyền thống.
Các nhà nghiên cứu bảo mật từ Unit 42, một nhánh bảo mật của Palo Alto Networks, đã phát hiện một chiến dịch mã độc mới vào tháng 6/2024.
Lợi dụng thương hiệu GlobalProtect VPN, các đối tượng tấn công đã đặt quảng cáo trên Google Search, xuất hiện ở vị trí đầu tiên trong kết quả tìm kiếm, dẫn đến một trang web độc hại. Các trang đích này giả mạo các trang web chính thức của Palo Alto cho GlobalProtect và đánh lừa người dùng tải xuống một phần mềm tải mã độc ngụy trang, gọi là WikiLoader.
WikiLoader có thể tải thêm các mã độc khác, đánh cắp thông tin và cung cấp quyền truy cập từ xa cho kẻ tấn công. Công cụ này đã hoạt động ít nhất từ cuối năm 2022 và đã được cập nhật với "một số thủ thuật độc đáo." Các nhà nghiên cứu tin rằng những kẻ chuyên xâm nhập vào hệ thống máy tính đang chuyển từ hình thức lừa đảo sang phát tán mã độc thông qua SEO (tối ưu hóa công cụ tìm kiếm).
SEO poisoning là một kỹ thuật mà các trang web do kẻ tấn công kiểm soát xuất hiện trên trang đầu của kết quả tìm kiếm thay vì các sản phẩm chính hãng. Các hacker thực hiện điều này bằng cách mua quảng cáo hoặc cải thiện xếp hạng trang.
Palo Alto cảnh báo rằng SEO poisoning mở rộng phạm vi của các nạn nhân tiềm năng và đã ghi nhận một số tổ chức tại Mỹ trong lĩnh vực giáo dục và giao thông vận tải đã bị ảnh hưởng bởi WikiLoader.
“Trong khi SEO poisoning không phải là một kỹ thuật mới, nó vẫn là một phương pháp hiệu quả để phát tán phần mềm tải mã độc tới các thiết bị đầu cuối. Việc giả mạo phần mềm bảo mật đáng tin cậy có thể giúp vượt qua các biện pháp kiểm soát tại các tổ chức dựa vào danh sách cho phép theo tên tệp tin,” báo cáo từ Unit 42 cho biết.
Trước đó, công ty phần mềm Proofpoint đã báo cáo rằng các kẻ tấn công đã sử dụng WikiLoader để phát tán các trojan như Danabot hoặc Ursnif/Gozi tới các tổ chức ở Italy. Kẻ tấn công đã sử dụng nhiều thủ đoạn để tránh bị phát hiện.
Tệp mẫu thu được từ một nạn nhân có tên GlobalProtect64, tuy nhiên, đó là một bản sao đã được đổi tên của một ứng dụng giao dịch chứng khoán hợp pháp dùng để tải phần mềm WikiLoader đầu tiên. Tệp tin zip này chứa hơn 400 tệp tin ẩn.
Về cơ chế điều khiển và kiểm soát, mã độc liên lạc với các trang web WordPress bị xâm phạm. “Mẫu WikiLoader sẽ tự động tắt nếu phát hiện các tiến trình liên quan đến phần mềm máy ảo,” các nhà nghiên cứu lưu ý. Họ nghi ngờ rằng WikiLoader sẽ tiếp tục được sử dụng trong suốt năm 2024 và nhiều năm tới.
Câu chuyện này còn phản ánh một vấn đề lớn hơn liên quan đến sự thống trị của Google trong thị trường tìm kiếm trực tuyến. Google đã xây dựng một đế chế trị giá 175 tỷ USD dựa trên việc kiểm soát khoảng 90% thị trường tìm kiếm toàn cầu. Tuy nhiên, sự trỗi dậy của trí tuệ nhân tạo thế hệ mới (Gen AI) và các chatbot như SearchGPT đang đặt áp lực lớn lên Google, buộc công ty phải thay đổi hoặc đối mặt với nguy cơ bị vượt mặt.
Microsoft đã đầu tư 13 tỷ USD vào OpenAI và hợp tác với Apple để tích hợp ChatGPT vào trợ lý ảo Siri, thách thức trực tiếp vị thế của Google. Các công cụ AI này cung cấp câu trả lời trực tiếp cho người dùng, bỏ qua quá trình tìm kiếm thông tin qua nhiều liên kết như trước đây, đe dọa đến mô hình tìm kiếm truyền thống của Google. Điều này đặc biệt nguy hiểm cho Google khi mà doanh thu chính của công ty đến từ quảng cáo trên công cụ tìm kiếm.
Google đã bắt đầu tích hợp các tính năng AI như phần tóm tắt AI ở đầu kết quả tìm kiếm, nhưng vẫn giữ thái độ thận trọng trong việc phát triển AI. Sự trỗi dậy của các đối thủ mới như Perplexity, một startup được Amazon hậu thuẫn, cho thấy thị trường tìm kiếm đang thay đổi nhanh chóng và Google cần phải thích ứng nếu không muốn bị lật đổ.