Một chiến dịch SEO bẩn quy mô lớn đang được tội phạm mạng tiến hành. Bằng các phương thức khác nhau, chúng đưa phiên bản giả mạo chứa mã độc của các phần mềm phổ biến lên top tìm kiếm. Nếu người dùng nhấp vào, tải về và cài đặt sẽ ngay lập tức bị nhiễm mã độc BATLOADER.
Trong một báo cáo mới được công bố, các nhà nghiên cứu của hãng Mandiant đã nêu chi tiết về chiến dịch SEO bẩn. “Hacker đã sử dụng các từ khóa SEO như “cài đặt ứng dụng năng suất miễn phí” hoặc “cài đặt công cụ phát triển phần mềm miễn phí” làm từ khóa để thu hút nạn nhân truy cập và tải về các trình cài đặt chứa mã độc”.
Các cuộc tấn công bằng phương thức đầu độc SEO, hacker tăng thứ hạng trang tải mã độc để khiến chúng hiển thị trên top đầu kết quả tìm kiếm. Khi người dùng tìm kiếm các ứng dụng như TeamViewer, Visual Studio và Zoom họ sẽ thấy các trang giả mạo ở top đầu. Nếu truy cập và tải về phần mềm giả mạo đó, nạn nhân sẽ bị nhiễm mã độc.
Trong khi đóng gói trình cài đặt, hacker sẽ thêm vào malware BATLOADER. Vì thế, khi cài đặt, malware sẽ cũng sẽ được cài đặt vào máy của nạn nhân. BATLOADER sẽ tải về các tệp thực thi khác để thăm dò mục tiêu. Tiếp theo, các mã độc khác cũng được tải về để cài đặt vào để thực hiện một chuỗi lây nhiễm.
Các mã độc khác được cài đặt thêm bao gồm Atera Agent, Cobalt Strike Beacon và Ursnift. Chúng sẽ thực hiện các hành vi như giám sát từ xa, leo thang đặc quyền và thu thập thông tin xác thực…
Để tránh trở thành nạn nhân, người dùng không nên tải phần mềm crack hay phần mềm miễn phí từ các trang chưa được xác thực. Ngoài ra, nên kiểm tra kỹ địa chỉ trang mà mình định tải phần mềm để tránh truy cập vào trang giả mạo. Cuối cùng, trước khi cài hãy dùng phần mềm diệt virus để quét file cài đặt.