Được đặt tên là LogoKit, công cụ lừa đảo này đã được triển khai trong thực tế, theo công ty tình báo mối đe dọa RiskIQ đã theo dõi sự phát triển của nó.
Công ty cho biết họ đã xác định được số lượt cài đặt LogoKit trên hơn 300 tên miền trong tuần qua và hơn 700 trang web trong tháng qua.
Hãng bảo mật cho biết LogoKit dựa vào việc gửi cho người dùng các liên kết lừa đảo chứa địa chỉ email của họ.
"Sau khi nạn nhân truy cập URL, LogoKit sẽ lấy các logo công ty từ một dịch vụ của bên thứ ba, chẳng hạn như Clearbit hoặc cơ sở dữ liệu favicon của Google" nhà nghiên cứu an ninh RiskIQ Adam Castleman cho biết trong một báo cáo hôm 27/1.
"Email nạn nhân cũng được tự động điền vào trường email hoặc tên người dùng, đánh lừa nạn nhân cảm thấy như họ đã đăng nhập vào trang web trước đó", ông nói thêm.
"Nếu nạn nhân nhập mật khẩu của họ, LogoKit sẽ thực hiện một yêu cầu AJAX, gửi email và mật khẩu của mục tiêu đến một nguồn bên ngoài và cuối cùng sẽ chuyển hướng người dùng đến trang web công ty (hợp pháp) của họ".
Castleman cho biết LogoKit đạt được điều này chỉ với một bộ hàm JavaScript có thể nhúng thêm vào bất kỳ biểu mẫu đăng nhập chung hoặc tài liệu HTML phức tạp nào.
Điều này khác với các bộ công cụ lừa đảo tiêu chuẩn, hầu hết trong số đó cần các mẫu pixel bắt chước hoàn hảo các trang xác thực của công ty.
Tính mô-đun của bộ công cụ cho phép các nhà khai thác LogoKit nhắm mục tiêu đến bất kỳ công ty nào họ muốn với rất ít công việc tùy chỉnh và thực hiện hàng chục hoặc hàng trăm cuộc tấn công mỗi tuần nhằm vào một loạt mục tiêu.
RiskIQ cho biết trong tháng qua, họ đã thấy LogoKit được sử dụng để bắt chước và tạo các trang đăng nhập cho các dịch vụ khác nhau, từ cổng đăng nhập chung cho đến cổng SharePoint giả, Adobe Document Cloud, OneDrive, Office 365 và một số sàn giao dịch tiền điện tử.
Vì LogoKit rất nhỏ, bộ lừa đảo không phải lúc nào cũng cần thiết lập máy chủ phức tạp của riêng nó, như một số bộ lừa đảo khác vẫn cần. Bộ công cụ có thể được lưu trữ trên các trang web bị tấn công hoặc các trang hợp pháp cho các công ty mà các nhà điều hành LogoKit muốn nhắm mục tiêu.
Hơn nữa, vì LogoKit là một tập hợp các tệp JavaScript, tài nguyên của nó cũng có thể được lưu trữ trên các dịch vụ đáng tin cậy công cộng như Firebase, GitHub, Oracle Cloud và các dịch vụ khác, hầu hết trong số đó sẽ được đưa vào danh sách trắng trong môi trường công ty và kích hoạt khá ít cảnh báo khi được tải bên trong trình duyệt của nhân viên.
RiskIQ cho biết họ theo dõi chặt chẽ mối đe dọa mới này do tính đơn giản của bộ công cụ, mà công ty bảo mật tin rằng sẽ giúp giảm thiểu cơ hội lừa đảo thành công.
Nguyễn Anh Tuấn
theo ZDNet
09:00 | 10/07/2020
10:00 | 04/03/2019
08:00 | 16/06/2020
10:00 | 27/04/2021
08:00 | 20/07/2021
13:00 | 02/08/2022
15:00 | 02/07/2021
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
09:00 | 24/11/2023
Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024