Hàng nghìn trang web WordPress bị lây nhiễm mã độc chuyển hướng người dùng đến trang quảng bá tiền ảo.
Nếu bạn đã từng được chuyển hướng đến một trang web Hỏi & Đáp có giao diện lạ để quảng bá tiền điện tử hoặc các công nghệ blockchain khác, thì đó có thể là một phần của trò lừa đảo “nhấn chuột” vào quảng cáo. Kể từ mùa thu năm ngoái, hàng nghìn trang web (chủ yếu là WordPress) bị nhiễm đã bị cuốn vào các kế hoạch lừa đảo này.
Cụ thể, các nhà nghiên cứu bảo mật tại Sucuri đã dành vài tháng qua để theo dõi phần mềm độc hại chuyển hướng người dùng đến các trang lừa đảo nhằm tăng số lần hiển thị quảng cáo của Google. Chiến dịch đã lây nhiễm hơn 10.000 trang web, khiến chúng chuyển hướng khách truy cập đến các trang web spam hoàn toàn khác.
Các trang đáng ngờ thường có các biểu mẫu Hỏi & Đáp (Q&A) đề cập đến Bitcoin hoặc các chủ đề liên quan đến chuỗi khối (blockchain) khác. Người dùng hiểu biết có thể cho rằng các trang web này đang cố bán Bitcoin hoặc các loại tiền điện tử khác, có thể là cho kế hoạch “bơm” và bán. Đây là một trường hợp, nhưng Sucuri đưa ra giả thuyết rằng tất cả văn bản chỉ là nội dung phụ che đậy nguồn doanh thu thực tế của kẻ lừa đảo, lượt xem quảng cáo trên Google.
Một manh mối cho thấy điều này là nhiều URL có liên quan xuất hiện trên thanh địa chỉ của trình duyệt như thể người dùng đã nhấp vào kết quả tìm kiếm của Google dẫn đến các trang web được đề cập. Mưu mẹo này có thể là một nỗ lực nhằm ngụy tạo các chuyển hướng dưới dạng nhấp chuột từ kết quả tìm kiếm trong chương trình phụ trợ của Google, có khả năng làm tăng số lần hiển thị tìm kiếm đối với doanh thu quảng cáo. Tuy nhiên, không rõ thủ thuật này có hoạt động hay không vì Google không đăng ký bất kỳ lượt nhấp vào kết quả tìm kiếm nào khớp với các chuyển hướng trá hình.
Sucuri lần đầu tiên nhận thấy phần mềm độc hại này vào tháng 9, nhưng chiến dịch đã được tăng cường sau báo cáo đầu tiên của nhóm bảo mật vào tháng 11. Chỉ riêng trong năm 2023, các nhà nghiên cứu đã theo dõi hơn 2.600 trang web bị nhiễm chuyển hướng khách truy cập đến hơn 70 miền lừa đảo mới.
Ban đầu, những kẻ lừa đảo đã ẩn địa chỉ IP thực của chúng bằng CloudFlare, nhưng dịch vụ này đã khởi động chúng sau câu chuyện tháng 11. Kể từ đó, họ đã chuyển sang DDoS-Guard, một dịch vụ tương tự nhưng gây tranh cãi của Nga.
Chiến dịch chủ yếu nhắm mục tiêu các trang web WordPress, đề xuất các lỗ hổng 0 ngày hiện có của WordPress. Hơn nữa, mã độc có thể che giấu thông qua che giấu. Nó cũng có thể tạm thời hủy kích hoạt khi quản trị viên đăng nhập. Người điều hành trang web nên bảo mật bảng quản trị của họ thông qua xác thực hai yếu tố và đảm bảo phần mềm trang web của họ được cập nhật.
Chiến dịch này không phải là ổ phần mềm độc hại gần đây duy nhất được kết nối với quảng cáo của Google. Các tác nhân độc hại cũng đã mạo danh các ứng dụng phần mềm phổ biến để phát tán phần mềm độc hại cho người dùng, đánh lừa xếp hạng quảng cáo của Google để xuất hiện ở đầu kết quả tìm kiếm. Hiện tại, những người muốn tải xuống các ứng dụng như Discord hoặc Gimp nên tránh tra cứu chúng qua Google.