Các nhà nghiên cứu bảo mật đã phát hiện ra một cơ chế phân phối phần mềm độc hại mới có thể leo lên đầu bất kỳ kết quả tìm kiếm nào, sau khi đánh lừa thuật toán SEO (Search Engine Optimization) nổi tiếng của Google.
Nó liên quan tới Gootkit, một phần mềm độc hại đã xuất hiện nhiều năm và đã được các công ty an ninh mạng phân tích và cảnh báo, nhưng chính cơ chế phân phối mới đã khiến nó gây chú ý và được đặt cho biệt danh mới là Gootloader.
"Gootloader sử dụng các kỹ thuật tối ưu hóa công cụ tìm kiếm (SEO) độc hại để luồn lách vào các kết quả tìm kiếm của Google", công ty an ninh mạng Sophos chia sẻ.
Trong quá trình phân tích cơ chế phân phối, các nhà nghiên cứu ước tính rằng những người điều hành phần mềm độc hại cũng đồng thời điều hành một mạng lưới khoảng 400 máy chủ, chuyên hỗ trợ việc tấn công thông qua các trang web hợp pháp.
Để minh họa tính hiệu quả của phương pháp này, các nhà nghiên cứu đã công bố ảnh chụp màn hình cho thấy kết quả đầu tiên là Google trả về là một trong những trang web do các nhà khai thác phần mềm độc hại điều hành. Ấn tượng hơn nữa là trang web bị tấn công thuộc về một phòng khám sơ sinh, trong khi truy vấn tìm kiếm tập trung vào bất động sản.
Khi được nhấp vào, trang web sẽ xuất hiện các hỗ trợ giúp cung cấp câu trả lời cho truy vấn tìm kiếm, nhưng liên quan đến việc tải xuống các tệp zip, thứ rõ ràng là chứa phần mềm độc hại.
Các nhà nghiên cứu chia sẻ rằng theo phân tích của họ, nhiều trang web bị tấn công đang chạy hệ thống quản lý nội dung (CMS) nổi tiếng, mà không tiện nêu tên chúng. Các tác nhân đe dọa đã điều chỉnh phần phụ trợ và chạy một tập lệnh để làm cho các trang web hiển thị thành một phiên bản sửa đổi nhẹ của thông tin gốc, dựa trên truy vấn tìm kiếm của nạn nhân.
Họ cũng lưu ý rằng cơ chế mới này đang được sử dụng để không chỉ phát tán Gootkit mà còn một số trojan và ransomware khác như Kronos, REvil, Cobalt Strike...
Sophos tuyên bố rằng chính các lớp thủ thuật này đã làm cho cơ chế phân phối trở nên hiệu quả. Ở một số thời điểm, người dùng cuối có thể tránh được sự lây nhiễm nếu họ nhận ra các dấu hiệu. Nhưng các nhà nghiên cứu tin rằng ngay cả những người được đào tạo cũng có thể dễ dàng bị đánh lừa bởi chuỗi các thủ thuật đậm chất kỹ thuật mà những người sáng tạo của Gootloader sử dụng.
Tham khảo: Techradar