Virus mã hóa tống tiền tấn công quản trị viên Windows bằng cách lợi dụng quảng cáo của Google
01:22:00 | 23-05-2024

Tin tặc đã mua quảng cáo của Google để hiển thị lên top kết quả tìm kiếm đường link trang web giả mạo, cho phép tải về các tiện ích Putty và WinSCP có chứa mã độc. Đây là những phần mềm phổ biến của Windows dành cho người quản trị.

Những quảng cáo này sử dụng các tên miền có lỗi đánh máy như puutty.org, puutty[.]org, wnscp[.]net và vvinscp[.]net cho trang web giả mạo, trong khi website chính thức của PuTTY là https://www.chiark.greenend.org.uk/~sgtatham/putty/ và của WinSCP là winscp.net.

Khi người dùng click vào link giả mạo, 1 tệp tin zip được tải về máy, khởi chạy thì tệp tin này sẽ tải và chạy phần mềm Putty WinSCP hợp pháp về để đánh lừa người dùng nhưng nó cũng âm thầm tải và thực thi virus nhằm chiếm quyền điều khiển máy tính và mã hóa toàn bộ dữ liệu liệu.

Quản trị viên hệ thống có đặc quyền cao trên mạng Windows, khiến họ trở thành mục tiêu có giá trị để hacker lây lan virus, đánh cắp dữ liệu, chiếm quyền điều khiển và thực thi mã độc mã hóa dữ liệu.

Cùng với đó, quảng cáo trên công cụ tìm kiếm cũng thường xuyên trở thành bàn đạp tấn công của hacker trong những năm gần đây. Hàng loạt các ứng dụng phổ biến đã bị lợi dụng để phát tán các trang web chứa virus như Keepass, CPU-Z, Notepad++, Grammarly, MSI Afterburner, Slack, Dashlane, 7-Zip, CCleaner, VLC, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird và Brave.

Các chuyên gia của Bkav khuyến cáo:

  • Trước khi nhấp vào một URL, cần kiểm tra kỹ đường dẫn để đảm bảo chúng không chứa các ký tự lạ. Các link độc hại thường có tên miền trông giống chứ không hoàn toàn giống đường dẫn thật, ví dụ G00gle.com thay vì google.com
  • Kiểm tra virus trước khi chạy file với virustotal.com
  • Cài đặt một phần mềm diệt virus chuyên nghiệp có bản quyền để được bảo vệ thường trực
  • Backup dữ liệu quan trọng thường xuyên

Bkav