Chiến dịch phần mềm độc hại "Mèo đen" đứng sau tấn công SEO vào các tìm kiếm

[T-800]

Một băng nhóm tội phạm mạng có tên Black Cat bị cáo buộc thực hiện chiến dịch đầu độc công cụ tìm kiếm (SEO) bằng cách sử dụng các trang web giả mạo quảng cáo phần mềm phổ biến để lừa người dùng tải xuống phần mềm độc hại có khả năng đánh cắp dữ liệu nhạy cảm.

Theo một báo cáo được công bố bởi Nhóm Kỹ thuật Ứng phó Khẩn cấp Mạng Máy tính Quốc gia/Trung tâm Điều phối của Trung Quốc (CNCERT/CC) và Beijing Weibu Online (hay còn gọi là ThreatBook), hoạt động này được thiết kế để đẩy các trang web giả mạo lên đầu kết quả tìm kiếm trên các công cụ tìm kiếm như Microsoft Bing, đặc biệt nhắm mục tiêu vào người dùng đang tìm kiếm các chương trình như Google Chrome, Notepad++, QQ International và iTools.

CNCERT/CC và ThreatBook cho biết: "Sau khi truy cập các trang web lừa đảo có thứ hạng cao này, người dùng sẽ bị dụ dỗ bởi các trang tải xuống được thiết kế tinh vi, yêu cầu tải xuống các gói cài đặt phần mềm được đóng gói kèm theo các chương trình độc hại. Sau khi cài đặt, chương trình sẽ cài đặt một Trojan cửa hậu mà người dùng không hề hay biết, dẫn đến việc kẻ tấn công đánh cắp dữ liệu nhạy cảm từ máy tính chủ."

Nhóm Black Cat được đánh giá là đã hoạt động ít nhất từ năm 2022, dàn dựng một loạt các cuộc tấn công nhằm mục đích đánh cắp dữ liệu và điều khiển từ xa bằng phần mềm độc hại được phát tán thông qua các chiến dịch làm suy yếu SEO. Năm 2023, nhóm này được cho là đã đánh cắp ít nhất 160.000 đô la tiền điện tử bằng cách giả mạo AICoin, một nền tảng giao dịch tiền ảo phổ biến.

Trong loạt tấn công mới nhất, người dùng tìm kiếm Notepad++ nhận được các liên kết đến một trang web lừa đảo rất tinh vi, giả mạo là trang web liên kết với phần mềm này ("cn-notepadplusplus[.]com"). Các tên miền khác được Black Cat đăng ký bao gồm "cn-obsidian[.]com," "cn-winscp[.]com," và "notepadplusplus[.]cn."

Việc thêm "cn" vào tên miền cho thấy các tác nhân đe dọa đang nhắm mục tiêu cụ thể vào người dùng Trung Quốc, những người có thể đang tìm kiếm các công cụ như vậy thông qua các công cụ tìm kiếm.

Nếu người dùng không cảnh giác nhấn vào nút "tải xuống" trên trang web giả mạo, họ sẽ bị chuyển hướng đến một URL khác bắt chước GitHub ("github.zh-cns[.]top"), từ đó có thể tải xuống một tệp lưu trữ ZIP. Bên trong tệp ZIP có chứa một trình cài đặt tạo lối tắt trên màn hình máy tính của người dùng. Lối tắt này đóng vai trò là điểm khởi đầu để cài đặt thủ công một DLL độc hại, từ đó khởi chạy phần mềm độc hại.

Phần mềm độc hại thiết lập liên lạc với một máy chủ từ xa được mã hóa cứng (" sbido[.]com:2869 "), cho phép nó đánh cắp dữ liệu trình duyệt web, ghi lại các thao tác gõ phím, trích xuất nội dung clipboard và các thông tin có giá trị khác từ máy chủ bị xâm nhập.

CNCERT/CC và ThreatBook lưu ý rằng tổ chức tội phạm mạng Mèo Đen đã xâm nhập khoảng 277.800 máy chủ trên khắp Trung Quốc từ ngày 7 đến ngày 20 tháng 7 năm 2025, với số lượng máy bị xâm nhập cao nhất trong một ngày đạt mức kỷ lục 62.167 máy.

Để giảm thiểu rủi ro, người dùng nên tránh nhấp vào các liên kết từ nguồn không xác định và chỉ tải phần mềm từ các nguồn đáng tin cậy.