ผู้ไม่หวังดีกำลังใช้ประโยชน์จากผลลัพธ์การค้นหาที่ถูกแก้ไข และโฆษณาปลอมบน Google เพื่อหลอกลวงผู้ใช้ที่กำลังดาวน์โหลดซอฟต์แวร์ที่ถูกต้อง เช่น WinSCP ให้ติดตั้งมัลแวร์แทน

บริษัทด้านความปลอดภัยทางไซเบอร์ Securonix กำลังติดตามพฤติกรรมที่เกิดขึ้นนี้ภายใต้ชื่อ SEO#LURKER

นักวิจัยด้านความปลอดภัย Den Iuzvyk, Tim Peck และ Oleg Kolesnikov ระบุในรายงานที่แชร์กับ The Hacker News ว่าโฆษณาที่เป็นอันตรายจะนำผู้ใช้ไปยังเว็บไซต์ WordPress ที่ถูกโจมตีชื่อ gameeweb[.]com ซึ่งจะนำผู้ใช้ไปยังเว็บไซต์ phishing ที่ถูกควบคุมโดยผู้โจมตี

โดยผู้โจมตีจะใช้ Google's Dynamic Search Ads (DSAs) เพื่อสร้างโฆษณาโดยอัตโนมัติขึ้น โดยใช้เนื้อหาของเว็บไซต์เพื่อนำโฆษณาที่เป็นอันตราย ที่จะพาผู้ใช้ไปยังเว็บไซต์ที่ติดมัลแวร์ (more…)

นักวิจัยพบแคมเปญโฆษณามัลแวร์ใน Google Search ที่มุ่งเป้าไปที่ผู้ใช้งานที่ต้องการดาวน์โหลดโปรแกรมแก้ไขข้อความ Notepad++ ที่เป็นที่นิยม โดยใช้เทคนิคเพื่อหลีกเลี่ยงการตรวจจับ และการวิเคราะห์

โดยพบว่าช่วงที่ผ่านมาผู้โจมตีใช้ Google Ads ในทางที่ผิดมากขึ้นเรื่อย ๆ ในการโฆษณาเพื่อโปรโมทเว็บไซต์ของซอฟต์แวร์ปลอมที่ใช้ในการแพร่กระจายมัลแวร์

จากข้อมูลของ Malwarebytes ซึ่งตรวจพบแคมเปญโฆษณามัลแวร์ Notepad++ พบว่ามีการใช้งานมาแล้วหลายเดือน แต่ก็ยังสามารถเข้าถึงได้อยู่ตลอดเวลา

payload ที่จะถูกส่งไปยังเหยื่อยังไม่แน่ชัด แต่ Malwarebytes ระบุว่ามีแนวโน้มมากที่สุดคือ Cobalt Strike ซึ่งมักจะนำไปสู่การติดตั้ง ransomware ที่สร้างความเสียหายอย่างมาก (more…)

Team Cymru บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการค้นพบว่ากลุ่ม Hacker ที่อยู่เบื้องหลัง Vidar Malware ได้ทำการเปลี่ยนแปลงโครงสร้างเบื้องหลังการทำงานของกลุ่ม ซึ่งแสดงให้เห็นถึงการพยายามที่จะปรับแต่งเครื่องมือในการโจมตีใหม่ ๆ และปกปิดเส้นทางออนไลน์ เพื่อตอบสนองต่อการถูกเปิดเผยต่อสาธารณะเกี่ยวกับวิธีการทำงาน และการโจมตีของกลุ่ม Hacker ที่อยู่เบื้องหลัง Vidar Malware โดย Hacker เปลี่ยนแปลง IP โครงสร้างเบื้องหลัง ซึ่งนิยมใช้ผู้ให้บริการที่อยู่ในมอลโดวา และรัสเซีย

Vidar Malware เป็นมัลแวร์ขโมยข้อมูลที่ถูกใช้ในเชิงพาณิชย์ โดยพบการโจมตีตั้งแต่ปลายปี 2018 นอกจากนี้ยังเป็นส่วนประกอบของมัลแวร์ขโมยข้อมูลตัวอื่น ในชื่อ Arkei ซึ่งได้ถูกเสนอขายด้วยราคาระหว่าง $130 ถึง $750 ขึ้นอยู่กับระดับการสมัครสมาชิกของผู้ใช้บริการ (more…)

Trend Micro เปิดเผยการค้นพบแคมเปญการโจมตีใหม่ของมัลแวร์ RomCom ที่ได้ทำการปลอมแปลงเป็นเว็บไซต์ของซอฟต์แวร์ยอดนิยม เพื่อหลอกให้เหยื่อทำการดาวน์โหลด และติดตั้งโปรแกรมที่เป็นอันตราย (more…)

นักวิจัยพบมัลแวร์ "BATLOADER" มีการใช้ Google Ads เพื่อแพร่กระจาย payload สำหรับติดตั้งมัลแวร์ตัวอื่น ๆ เช่น Vidar Stealer และ Ursnif Payloads

บริษัทรักษาความปลอดภัยด้านไซเบอร์ eSentire ได้รายงานเกี่ยวกับโฆษณาที่เป็นมัลแวร์ ซึ่งถูกใช้ในการเลียนแบบแอปพลิเคชัน และบริการต่าง ๆ เช่น Adobe, OpenAPI's ChatGPT, Spotify, Tableau, และ Zoom (more…)

แคมเปญ phishing รูปแบบใหม่ที่มุ่งเป้าหมายไปหน้า login ของ Amazon Web Services (AWS) โดยการใช้ Google ads เพื่อดันหน้าเว็บไซต์ phishing ขึ้นมาติดอันดับใน Google Search เพื่อขโมยข้อมูลการ login ของเหยื่อที่ไม่ระมัดระวัง

ในช่วงแรกผู้โจมตีจะใช้วิธี link โฆษณาไปยังหน้าเพจ phishing โดยตรง แต่ในภายหลังได้ใช้วิธีการเปลี่ยนเส้นทางไปยังหน้าเพจ phishing แทน เพื่อหลีกเลี่ยงการตรวจจับโดยระบบตรวจจับ fraud ของ Google ads (more…)

Guardio Labs และ Trend Micro บริษัทด้านความปลอดภัยได้เผยแพร่ข้อมูลเทคนิคการโจมตีของกลุ่ม Hackers ที่เริ่มหันมาใช้ Google Ads ในการหลอกล่อเป้าหมายที่กำลังค้นหาซอฟต์แวร์ เพื่อให้เหยื่อทำการดาวน์โหลดซอฟต์แวร์อันตรายที่ถูกฝังมัลแวร์ไว้โดยที่ไม่รู้ตัว

Google Ads เป็นแพลตฟอร์มช่วยโปรโมตโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา

วิธีการโจมตี

Guardio Labs และ Trend Micro ได้ค้นพบแคมเปญ typosquatting ซึ่งเป็นแคมเปญการโจมตีโดยใช้การจดโดนเมนปลอมใกล้เคียง เพื่อเลียนแบบหน้าเว็ปไซต์ของซอฟต์แวร์ยอดนิยมกว่า 200 โดเมน เช่น Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird และ Brave

รวมทั้งยังได้ใช้ Google Ads ในการโปรโมตโฆษณาหน้าเว็ปปลอมบนหน้าการค้นหาของ Google และให้ขึ้นมาอยู่ในอันดับต้น ๆ ของคำค้นหานั้น เมื่อเป้าหมายกดคลิกหน้าเว็ปไซต์ปลอมเพื่อทำการดาวน์โหลดซอฟต์แวร์ ก็จะเป็นการดาวน์โหลดซอฟต์แวร์ที่ถูกฝังเพย์โหลดที่เป็นอันตราย

โดยเพย์โหลดที่ฝังมากับซอฟต์แวร์จะทำการดาวน์โหลดมัลแวร์ซึ่งประกอบไปด้วย Raccoon Stealer, Vidar Stealer และ IcedID malware loader ซึ่งเพย์โหลดที่มาในรูปแบบ .ZIP หรือ .MSI จะถูกดาวน์โหลดจากบริการแชร์ไฟล์ต่าง ๆ เช่น GitHub, Dropbox หรือ Discord เพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสบนเครื่องเป้าหมาย

รวมถึงเมื่อ Google ตรวจพบว่าเว็ปไซต์ที่ Google Ads เชื่อมโยงไว้นั้นเป็นอันตราย โฆษณานั้นจะถูกบล็อกและลบออก ดังนั้น Hackers จึงใช้เทคนิคเลี่ยงการตรวจสอบของ Google Ads ด้วยการหลอกล่อให้เป้าหมายคลิกโฆษณาไปยังเว็ปไซต์ที่ไม่มีอันตรายที่สร้างโดย Hackers ก่อน จากนั้นก็จะทำการปลี่ยนเส้นทางไปยังเว็ปไซต์ดาวน์โหลดซอฟต์แวร์อันตรายอีกครั้งหนึ่ง

วิธีการป้องกัน

ระมัดระวังการคลิกชมโฆษณาบน Google Ads / ตรวจสอบ URL ของลิงค์เว็ปไซต์ที่ต้องการค้นหา
เปิดใช้งานตัวบล็อกโฆษณาบนเว็บเบราว์เซอร์

ที่มา : bleepingcomputer