Chiến dịch phần mềm quảng cáo mới nhắm mục tiêu người tìm kiếm ứng dụng Meta Quest

Chiến dịch phần mềm quảng cáo mới nhắm mục tiêu người tìm kiếm ứng dụng Meta Quest

Một chiến dịch mới đang lừa người dùng đang tìm kiếm ứng dụng Meta Quest (trước đây là Oculus) dành cho Windows tải xuống dòng phần mềm quảng cáo mới có tên AdsExhaus.

Chiến dịch phần mềm quảng cáo mới nhắm mục tiêu người tìm kiếm ứng dụng Meta Quest

Các chuyên gia an ninh mạng cho biết trong một phân tích: “Phần mềm quảng cáo có khả năng lọc ảnh chụp màn hình từ các thiết bị bị nhiễm và tương tác với các trình duyệt bằng cách sử dụng tổ hợp phím mô phỏng”.

“Các chức năng này cho phép nó tự động nhấp qua quảng cáo hoặc chuyển hướng trình duyệt đến các URL cụ thể, tạo ra doanh thu cho các nhà khai thác phần mềm quảng cáo.”

Chuỗi lây nhiễm ban đầu liên quan đến việc hiển thị trang web không có thật ("oculus-app[.]com") trên các trang kết quả tìm kiếm của Google bằng cách sử dụng kỹ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO), khiến khách truy cập trang web không nghi ngờ tải xuống kho lưu trữ ZIP ("oculus-app. EXE.zip") chứa tập lệnh bó Windows.

Tập lệnh bó được thiết kế để tìm nạp tập lệnh bó thứ hai từ máy chủ lệnh và điều khiển (C2), do đó, máy chủ này chứa lệnh truy xuất một tệp bó khác. Nó cũng tạo các tác vụ theo lịch trình trên máy để chạy các tập lệnh bó vào các thời điểm khác nhau.

Tiếp theo là bước này là tải xuống ứng dụng hợp pháp xuống máy chủ bị xâm nhập, đồng thời loại bỏ các tệp Visual Basic Script (VBS) và tập lệnh PowerShell bổ sung để thu thập thông tin IP và hệ thống, chụp ảnh màn hình và lọc dữ liệu sang máy chủ từ xa ( "us11[.]org/in.php").

Phản hồi từ máy chủ là phần mềm quảng cáo AdsExhaus dựa trên PowerShell để kiểm tra xem trình duyệt Edge của Microsoft có đang chạy hay không và xác định lần cuối cùng người dùng nhập dữ liệu vào.

Các chuyên gia an ninh mạng cho biết: “Nếu Edge đang chạy và hệ thống không hoạt động và vượt quá 9 phút, tập lệnh có thể thực hiện các nhấp chuột, mở tab mới và điều hướng đến các URL được nhúng trong tập lệnh”. "Sau đó nó ngẫu nhiên cuộn lên xuống trang đã mở."

Người ta nghi ngờ rằng hành vi này nhằm mục đích kích hoạt các thành phần như quảng cáo trên trang web, đặc biệt khi xem xét AdsExhaus thực hiện các nhấp chuột ngẫu nhiên trong các tọa độ cụ thể trên màn hình.

Phần mềm quảng cáo cũng có khả năng đóng trình duyệt đã mở nếu phát hiện chuyển động chuột hoặc tương tác của người dùng, tạo lớp phủ để che giấu hoạt động của nó với nạn nhân và tìm kiếm từ "Được tài trợ" trong tab trình duyệt Edge hiện đang mở để nhấp vào quảng cáo với mục tiêu tăng doanh thu quảng cáo.

Hơn nữa, nó được trang bị để tìm nạp danh sách từ khóa từ máy chủ từ xa và thực hiện tìm kiếm trên Google cho những từ khóa đó bằng cách khởi chạy các phiên trình duyệt Edge thông qua lệnh Start-Process PowerShell.

Các chuyên gia an ninh mạng lưu ý: “AdsExhaus là một mối đe dọa phần mềm quảng cáo khéo léo thao túng các tương tác của người dùng và che giấu các hoạt động của nó để tạo ra doanh thu trái phép”.

“Nó chứa nhiều kỹ thuật, chẳng hạn như truy xuất mã độc từ máy chủ C2, mô phỏng thao tác gõ phím, chụp ảnh màn hình và tạo lớp phủ để không bị phát hiện khi tham gia vào các hoạt động có hại.”

Sự phát triển này xảy ra khi các trang web hỗ trợ CNTT giả mạo tương tự xuất hiện thông qua kết quả tìm kiếm đang được sử dụng để phân phối Hijack Loader (còn gọi là IDAT Loader), cuối cùng dẫn đến lây nhiễm Vidar Stealer.

Điều khiến cuộc tấn công trở nên nổi bật là các tác nhân đe dọa cũng đang lợi dụng các video trên YouTube để quảng cáo trang web giả mạo và sử dụng bot để đăng các bình luận lừa đảo, mang lại cho nó vẻ ngoài hợp pháp cho những người dùng đang tìm kiếm giải pháp giải quyết lỗi cập nhật Windows (mã lỗi 0x80070643 ).

Các chuyên gia an ninh mạng cho biết: “Điều này nêu bật tính hiệu quả của các chiến thuật tấn công xã hội và người dùng cần phải thận trọng về tính xác thực của các giải pháp họ tìm thấy trực tuyến”.

Tiết lộ này cũng xuất hiện ngay sau chiến dịch malpsam nhắm mục tiêu đến người dùng ở Ý với các mục đích thu hút kho lưu trữ ZIP theo chủ đề hóa đơn để cung cấp một trojan truy cập từ xa dựa trên Java có tên là Adwind (còn gọi là AlienSpy, Frutas, jRAT, JSocket, Sockrat và Unrecom).

Sau khi trích xuất, người dùng sẽ được cung cấp các tệp .HTML như INVOICE.html hoặc DOCUMENT.html dẫn đến các tệp .jar độc hại.

“Tải trọng cuối cùng bị loại bỏ là trojan truy cập từ xa Adwind (RAT) cho phép kẻ tấn công kiểm soát điểm cuối bị xâm phạm cũng như thu thập và lấy cắp dữ liệu bí mật.”

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Kaspersky hướng dẫn cách hạn chế rủi ro khi sử dụng Wi-Fi công cộng

Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng tại quán cà phê, sân bay hoặc xuyên suốt kỳ nghỉ...

Chi tiết
Standard Post with Image

Kaspersky nhận định tình trạng lây nhiễm trong các doanh nghiệp SMB đang gia tăng do sự trỗi dậy của các cuộc tấn công vào Micro

Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã tăng 5% trong quý I năm 2024, so với cùng kỳ năm...

Chi tiết
Standard Post with Image

TeamViewer phát hiện vi phạm bảo mật trong môi trường CNTT doanh nghiệp

TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ của công ty vào ngày 26 tháng 6 năm 2024.

Chi tiết