Duy Linh
Writer
Một chiến dịch tấn công mạng quy mô lớn mang tên Pushpaganda đang khai thác nguồn cấp dữ liệu Khám phá (Google Discover) để phát tán thông báo độc hại và các chiêu trò lừa đảo thông qua nội dung do AI tạo ra.
Chiến dịch bắt đầu bằng việc các tác nhân đe dọa tạo khoảng 113 tên miền giả mạo, chứa các bài viết do AI tạo cùng tiêu đề giật gân nhằm thu hút lượt truy cập. Những nội dung này được tối ưu để xuất hiện trong Google Discover – luồng nội dung cá nhân hóa hiển thị trên màn hình chính Android và tab mới của Chrome.
Bằng kỹ thuật SEO nâng cao và có thể kết hợp quảng cáo trả phí, các đối tượng đã chèn nội dung lừa đảo trực tiếp vào luồng tin người dùng. Nội dung thường xoay quanh các chủ đề hấp dẫn như thuế, lợi ích tài chính hoặc ưu đãi công nghệ “quá tốt để là thật”, ví dụ “Khoản tiền gửi 1.390 USD (khoảng 34,7 triệu VNĐ) được IRS chấp thuận” hoặc quảng cáo điện thoại giá siêu rẻ.
Nhóm Nghiên cứu và Tình báo Mối đe dọa Satori của HUMAN đã phát hiện chiến dịch này, cho thấy sự kết hợp giữa gian lận quảng cáo, kỹ thuật xã hội và phần mềm hù dọa nhằm thao túng người dùng di động trên phạm vi toàn cầu.
Khi người dùng nhấp vào liên kết, họ bị chuyển hướng đến các trang do kẻ tấn công kiểm soát và bị yêu cầu bật thông báo đẩy. Sau khi cấp quyền, kẻ tấn công có thể gửi thông báo liên tục ở cấp hệ thống, vượt qua các công cụ chặn quảng cáo truyền thống.
Sơ đồ mô tả mối đe dọa từ Pushpaganda (Nguồn: Satori).
Thao tác với nguồn cấp dữ liệu khám phá (Nguồn: Satori).
Các nhà nghiên cứu chưa xác định rõ liệu việc hiển thị nội dung trong Google Discover là do mua quảng cáo hay do kỹ thuật SEO tinh vi. Tuy nhiên, vào thời điểm cao nhất, hệ thống ghi nhận hơn 240 triệu yêu cầu đặt giá quảng cáo chỉ trong một tuần. Ban đầu nhắm vào người dùng Ấn Độ, chiến dịch sau đó lan sang Mỹ, Úc và nhiều khu vực khác.
Mọi tương tác trong chiến dịch từ hiển thị quảng cáo đến nhấp chuột đều là gian lận, nhằm tạo lưu lượng truy cập giả và doanh thu quảng cáo bất hợp pháp.
Ngoài ra, các trang Pushpaganda còn sử dụng các nút gây hiểu nhầm như “Đăng ký ngay” hoặc “Nhận ưu đãi”. Những nút này không dẫn đến nội dung hợp lệ mà kích hoạt chuyển hướng bằng JavaScript, mở tab mới hoặc tải trang nền do kẻ tấn công kiểm soát.
Nút bấm gây hiểu nhầm trên một tên miền liên kết với Pushpaganda (Nguồn: Satori).
Thuật toán xoay ảnh bằng JavaScript (Nguồn: Satori).
Cơ chế xoay vòng tab giúp tăng lưu lượng giả, tạo cảm giác người dùng đang tương tác thực, qua đó tối đa hóa doanh thu quảng cáo.
Đáng chú ý, chiến dịch còn sử dụng quảng cáo deepfake với hình ảnh và video giả mạo người nổi tiếng hoặc chuyên gia y tế để tăng độ tin cậy và dụ nạn nhân tham gia lừa đảo hoặc mua sản phẩm.
Sau khi nhận thông tin từ Satori, Google đã triển khai biện pháp chặn các nội dung thao túng và kém chất lượng khỏi Google Discover. Trong khi đó, HUMAN tiếp tục theo dõi sự mở rộng của hạ tầng Pushpaganda.
Chiến dịch này cho thấy các tác nhân đe dọa đang kết hợp nội dung AI, quảng cáo và giao diện đáng tin cậy để thực hiện lừa đảo quy mô lớn. Người dùng sử dụng các giải pháp chống gian lận quảng cáo của HUMAN đã được bảo vệ khỏi các hoạt động này. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-content-hijacks-google/
Chiến dịch bắt đầu bằng việc các tác nhân đe dọa tạo khoảng 113 tên miền giả mạo, chứa các bài viết do AI tạo cùng tiêu đề giật gân nhằm thu hút lượt truy cập. Những nội dung này được tối ưu để xuất hiện trong Google Discover – luồng nội dung cá nhân hóa hiển thị trên màn hình chính Android và tab mới của Chrome.
Bằng kỹ thuật SEO nâng cao và có thể kết hợp quảng cáo trả phí, các đối tượng đã chèn nội dung lừa đảo trực tiếp vào luồng tin người dùng. Nội dung thường xoay quanh các chủ đề hấp dẫn như thuế, lợi ích tài chính hoặc ưu đãi công nghệ “quá tốt để là thật”, ví dụ “Khoản tiền gửi 1.390 USD (khoảng 34,7 triệu VNĐ) được IRS chấp thuận” hoặc quảng cáo điện thoại giá siêu rẻ.
Nhóm Nghiên cứu và Tình báo Mối đe dọa Satori của HUMAN đã phát hiện chiến dịch này, cho thấy sự kết hợp giữa gian lận quảng cáo, kỹ thuật xã hội và phần mềm hù dọa nhằm thao túng người dùng di động trên phạm vi toàn cầu.
Khi người dùng nhấp vào liên kết, họ bị chuyển hướng đến các trang do kẻ tấn công kiểm soát và bị yêu cầu bật thông báo đẩy. Sau khi cấp quyền, kẻ tấn công có thể gửi thông báo liên tục ở cấp hệ thống, vượt qua các công cụ chặn quảng cáo truyền thống.
Sơ đồ mô tả mối đe dọa từ Pushpaganda (Nguồn: Satori).
Phần mềm hù dọa, deepfake và gian lận quảng cáo quy mô lớn
Các thông báo từ Pushpaganda được thiết kế để gây hoang mang và lừa đảo, bao gồm cảnh báo pháp lý giả, thông báo ngân hàng bịa đặt hoặc tin nhắn mạo danh như cuộc gọi nhỡ từ người thân. Khi nhấp vào, nạn nhân tiếp tục bị chuyển hướng sang các tên miền khác trong cùng hệ thống, tạo thành vòng lặp lừa đảo liên tục.
Thao tác với nguồn cấp dữ liệu khám phá (Nguồn: Satori).
Các nhà nghiên cứu chưa xác định rõ liệu việc hiển thị nội dung trong Google Discover là do mua quảng cáo hay do kỹ thuật SEO tinh vi. Tuy nhiên, vào thời điểm cao nhất, hệ thống ghi nhận hơn 240 triệu yêu cầu đặt giá quảng cáo chỉ trong một tuần. Ban đầu nhắm vào người dùng Ấn Độ, chiến dịch sau đó lan sang Mỹ, Úc và nhiều khu vực khác.
Mọi tương tác trong chiến dịch từ hiển thị quảng cáo đến nhấp chuột đều là gian lận, nhằm tạo lưu lượng truy cập giả và doanh thu quảng cáo bất hợp pháp.
Ngoài ra, các trang Pushpaganda còn sử dụng các nút gây hiểu nhầm như “Đăng ký ngay” hoặc “Nhận ưu đãi”. Những nút này không dẫn đến nội dung hợp lệ mà kích hoạt chuyển hướng bằng JavaScript, mở tab mới hoặc tải trang nền do kẻ tấn công kiểm soát.
Nút bấm gây hiểu nhầm trên một tên miền liên kết với Pushpaganda (Nguồn: Satori).
Thuật toán xoay ảnh bằng JavaScript (Nguồn: Satori).
Cơ chế xoay vòng tab giúp tăng lưu lượng giả, tạo cảm giác người dùng đang tương tác thực, qua đó tối đa hóa doanh thu quảng cáo.
Đáng chú ý, chiến dịch còn sử dụng quảng cáo deepfake với hình ảnh và video giả mạo người nổi tiếng hoặc chuyên gia y tế để tăng độ tin cậy và dụ nạn nhân tham gia lừa đảo hoặc mua sản phẩm.
Sau khi nhận thông tin từ Satori, Google đã triển khai biện pháp chặn các nội dung thao túng và kém chất lượng khỏi Google Discover. Trong khi đó, HUMAN tiếp tục theo dõi sự mở rộng của hạ tầng Pushpaganda.
Chiến dịch này cho thấy các tác nhân đe dọa đang kết hợp nội dung AI, quảng cáo và giao diện đáng tin cậy để thực hiện lừa đảo quy mô lớn. Người dùng sử dụng các giải pháp chống gian lận quảng cáo của HUMAN đã được bảo vệ khỏi các hoạt động này. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-content-hijacks-google/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
