Gần đây, các biểu mẫu “liên quan tới chúng tôi” trên trang web của công ty thường được tin tặc sử dụng để tiếp cận với những nhân viên có trách nhiệm nhận yêu cầu liên hệ từ công chúng.
Một tính năng đáng chú ý của cuộc tấn công là tin tặc sử dụng các biểu mẫu liên hệ để gửi cho nhân viên các URL hợp pháp của Google, yêu cầu người dùng đăng nhập bằng tên người dùng và mật khẩu Google của họ.
Microsoft coi mối đe dọa này đủ nghiêm trọng để báo cáo các cuộc tấn công cho nhóm bảo mật của Google nhằm cảnh báo tội phạm mạng đang sử dụng các URL hợp pháp của Google để gửi phần mềm độc hại. Các URL của Google rất hữu ích đối với những kẻ tấn công vì chúng sẽ vượt qua các bộ lọc bảo mật email. Những kẻ tấn công dường như cũng đã vượt qua các thử thách CAPTCHA được sử dụng để kiểm tra xem việc gửi thông tin liên hệ có phải do con người thực hiện hay không.
“Những kẻ tấn công đang lạm dụng cơ sở hạ tầng hợp pháp, chẳng hạn như biểu mẫu liên hệ của các trang web, để vượt qua các biện pháp bảo vệ, khiến mối đe dọa này rất dễ qua mặt các biện pháp kiểm soát. Ngoài ra, những kẻ tấn công sử dụng các URL hợp pháp, trong trường hợp này là các URL của Google yêu cầu đối tượng bị nhắm mục tiêu đăng nhập bằng thông tin đăng nhập Google của họ”, ghi chú của Microsoft 365 Defender Threat Intelligence Team cho biết.
Microsoft lo ngại về kỹ thuật được sử dụng và hiện đã phát hiện tội phạm sử dụng các URL trong email để gửi phần mềm độc hại IcedID. Nhưng nó cũng có thể dễ dàng được sử dụng để truyền các phần mềm độc hại khác.
IcedID là một trojan ngân hàng đánh cắp thông tin và có thể được sử dụng như một điểm vào cho các cuộc tấn công tiếp theo, chẳng hạn như ransomware vận hành thủ công cho các mục tiêu có giá trị cao. Các cuộc tấn công ransomware do con người điều hành ngày càng phổ biến và yêu cầu kẻ tấn công phải làm việc trực tiếp với máy tính và dàn dựng cuộc tấn công, trái ngược với một cuộc tấn công tự động.
“Chúng tôi đã quan sát thấy một loạt các email nhắm mục tiêu đến các doanh nghiệp bằng cách lạm dụng biểu mẫu liên hệ của các công ty. Điều này cho thấy rằng những kẻ tấn công có thể đã sử dụng một công cụ tự động hóa quy trình này trong khi phá vỡ các biện pháp bảo vệ của CAPTCHA”, Microsoft cho biết.
Đây là một cuộc tấn công mà các công ty và cơ quan chính phủ khó có thể phát hiện, vì email đến tay nhân viên từ biểu mẫu liên hệ và hệ thống tiếp thị qua email của chính họ.
“Vì các email bắt nguồn từ biểu mẫu liên hệ của chính người nhận trên trang web của họ, các mẫu email phù hợp với những gì họ mong đợi từ một tương tác hoặc yêu cầu thực tế của khách hàng”, Microsoft lưu ý.
Những kẻ tấn công sử dụng ngôn ngữ gây áp lực buộc nhân viên phải trả lời, ví dụ như tuyên bố sai rằng trang web được nhắm mục tiêu đang sử dụng hình ảnh có bản quyền. Email chứa một liên kết đến trang sites.google.com nơi nhân viên có nhiệm vụ xem các hình ảnh được cho là vi phạm.
Nếu nhân viên thực hiện công việc của họ và điều tra khiếu nại bằng cách đăng nhập vào trang web, trang sites.google.com sẽ tự động tải xuống tệp ZIP có tệp JavaScript, từ đó tải xuống phần mềm độc hại IcedID dưới dạng tệp .DAT. Nó cũng tải xuống một thành phần của bộ kiểm tra thâm nhập có tên Cobalt Strike, cho phép kẻ tấn công điều khiển thiết bị qua Internet.
Nguyễn Anh Tuấn (theo ZDNet)
20:00 | 30/06/2021
09:00 | 02/04/2021
14:00 | 23/03/2021
13:00 | 03/02/2021
10:00 | 08/04/2022
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
