Guardio Labs และ Trend Micro บริษัทด้านความปลอดภัยได้เผยแพร่ข้อมูลเทคนิคการโจมตีของกลุ่ม Hackers ที่เริ่มหันมาใช้ Google Ads ในการหลอกล่อเป้าหมายที่กำลังค้นหาซอฟต์แวร์ เพื่อให้เหยื่อทำการดาวน์โหลดซอฟต์แวร์อันตรายที่ถูกฝังมัลแวร์ไว้โดยที่ไม่รู้ตัว
Google Ads เป็นแพลตฟอร์มช่วยโปรโมตโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา
วิธีการโจมตี
Guardio Labs และ Trend Micro ได้ค้นพบแคมเปญ typosquatting ซึ่งเป็นแคมเปญการโจมตีโดยใช้การจดโดนเมนปลอมใกล้เคียง เพื่อเลียนแบบหน้าเว็ปไซต์ของซอฟต์แวร์ยอดนิยมกว่า 200 โดเมน เช่น Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird และ Brave
รวมทั้งยังได้ใช้ Google Ads ในการโปรโมตโฆษณาหน้าเว็ปปลอมบนหน้าการค้นหาของ Google และให้ขึ้นมาอยู่ในอันดับต้น ๆ ของคำค้นหานั้น เมื่อเป้าหมายกดคลิกหน้าเว็ปไซต์ปลอมเพื่อทำการดาวน์โหลดซอฟต์แวร์ ก็จะเป็นการดาวน์โหลดซอฟต์แวร์ที่ถูกฝังเพย์โหลดที่เป็นอันตราย
โดยเพย์โหลดที่ฝังมากับซอฟต์แวร์จะทำการดาวน์โหลดมัลแวร์ซึ่งประกอบไปด้วย Raccoon Stealer, Vidar Stealer และ IcedID malware loader ซึ่งเพย์โหลดที่มาในรูปแบบ .ZIP หรือ .MSI จะถูกดาวน์โหลดจากบริการแชร์ไฟล์ต่าง ๆ เช่น GitHub, Dropbox หรือ Discord เพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสบนเครื่องเป้าหมาย
รวมถึงเมื่อ Google ตรวจพบว่าเว็ปไซต์ที่ Google Ads เชื่อมโยงไว้นั้นเป็นอันตราย โฆษณานั้นจะถูกบล็อกและลบออก ดังนั้น Hackers จึงใช้เทคนิคเลี่ยงการตรวจสอบของ Google Ads ด้วยการหลอกล่อให้เป้าหมายคลิกโฆษณาไปยังเว็ปไซต์ที่ไม่มีอันตรายที่สร้างโดย Hackers ก่อน จากนั้นก็จะทำการปลี่ยนเส้นทางไปยังเว็ปไซต์ดาวน์โหลดซอฟต์แวร์อันตรายอีกครั้งหนึ่ง
วิธีการป้องกัน
- ระมัดระวังการคลิกชมโฆษณาบน Google Ads / ตรวจสอบ URL ของลิงค์เว็ปไซต์ที่ต้องการค้นหา
- เปิดใช้งานตัวบล็อกโฆษณาบนเว็บเบราว์เซอร์
ที่มา : bleepingcomputer
You must be logged in to post a comment.