Các công ty bảo mật đã cảnh báo rằng các quảng cáo được hiển thị nổi bật trên các công cụ tìm kiếm đang mạo danh một loạt các dịch vụ trực tuyến nhằm lây nhiễm cho máy Mac một kẻ đánh cắp thông tin xác thực mạnh mẽ. Mục tiêu được báo cáo mới nhất là người dùng trình quản lý mật khẩu LastPass.
Muộn tuần trước, LastPass cho biết họ đã phát hiện ra một chiến dịch rộng rãi sử dụng tối ưu hóa công cụ tìm kiếm để hiển thị quảng cáo cho các ứng dụng macOS LastPass ở đầu kết quả tìm kiếm được các công cụ tìm kiếm trả về, bao gồm cả Google và Bing. Quảng cáo đã dẫn đến một trong hai trang GitHub lừa đảo nhắm mục tiêu LastPass, cả hai đều đã bị gỡ xuống. Các trang cung cấp các liên kết hứa hẹn cài đặt LastPass trên MacBook. Trên thực tế, họ đã cài đặt một trình đánh cắp thông tin xác thực macOS được gọi là Trình đánh cắp nguyên tử hoặc cách khác là Trình đánh cắp Amos.
Hàng chục mục tiêu
“Chúng tôi viết bài đăng trên blog này để nâng cao nhận thức về chiến dịch và bảo vệ khách hàng của mình trong khi chúng tôi tiếp tục tích cực theo đuổi các nỗ lực gỡ xuống và gián đoạn, đồng thời chia sẻ các chỉ số thỏa hiệp (IoC) để giúp các nhóm bảo mật khác phát hiện các mối đe dọa mạng,” LastPass cho biết trong bài đăng.
LastPass hầu như không đơn độc khi thấy thương hiệu nổi tiếng của mình bị khai thác trong những quảng cáo như vậy. Các chỉ số thỏa hiệp mà LastPass cung cấp liệt kê các phần mềm hoặc dịch vụ khác được mạo danh là 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird và TweetDeck. Thông thường, quảng cáo cung cấp phần mềm ở các phông chữ nổi bật. Khi được nhấp vào, quảng cáo sẽ dẫn đến các trang GitHub cài đặt các phiên bản Atomic được ngụy trang dưới dạng phần mềm chính thức bị quảng cáo sai sự thật.
