Tên miền ZIP bị lạm dụng
Đầu tháng 5/2023, Google đã bắt đầu cung cấp tính năng đăng ký các tên miền TLD (Top Level Domain - Tên miền cấp cao nhất) mới, trong đó có ZIP và MOV, chẳng hạn như test.zip, để lưu trữ các trang web hoặc địa chỉ email. Kể từ khi các tên miền TLD này được công bố, đã có khá nhiều quan điểm tranh luận về việc liệu chúng có an toàn và có thể gây rủi ro an ninh mạng cho người dùng hay không. Điều này là do ZIP và MOV đều là các tên mở rộng tệp hợp pháp, có khả năng khiến người dùng cả tin nhầm lẫn khi truy cập trang web độc hại thay vì mở tệp và vô tình tải xuống phần mềm độc hại.
Mặc dù một số chuyên gia bảo mật tin rằng các vấn đề đã bị thổi phồng lên, thế nhưng mối lo ngại chính là một số trang web sẽ tự động chuyển một chuỗi kết thúc bằng “.zip”, chẳng hạn như setup.zip, thành một liên kết có thể chọn được và có khả năng được sử dụng để phân phối phần mềm độc hại hoặc tấn công lừa đảo.
Các nhà nghiên cứu tại hãng bảo mật Trend Micro cho biết: “Các tệp ZIP thường được sử dụng như một phần trong giai đoạn đầu của chuỗi tấn công, có thể được tải xuống sau khi người dùng truy cập vào một URL độc hại hoặc mở tệp đính kèm email. Ngoài các tệp lưu trữ ZIP được sử dụng làm payload, cũng có khả năng tin tặc sẽ sử dụng các URL liên quan đến ZIP để tải xuống phần mềm độc hại".
Các tin tặc có thể tạo một trang web lừa đảo trông giống như thật bằng cách sử dụng HTML và CSS “bắt chước” phần mềm lưu trữ tệp hợp pháp và lưu trữ trang đó với tên miền ZIP, từ đó nâng cao các chiến dịch kỹ nghệ xã hội.
Ví dụ: nếu bạn gửi cho một người dùng nào đó và hướng dẫn tải xuống tệp có tên setup.zip, Twitter sẽ tự động chuyển setup.zip thành một liên kết, khiến người dùng nghĩ rằng họ nên nhấp vào liên kết để tải xuống tệp. Khi nhấp vào liên kết đó, trình duyệt của bạn sẽ mở đường dẫn https://setup.zip, trang này có thể chuyển hướng đến một trang khác, hiển thị HTML hoặc nhắc nhở tải xuống một tệp.
Tuy nhiên, giống như tất cả các chiến dịch lừa đảo hoặc phân phối phần mềm độc hại trước đó, điều tiên quyết là trước tiên bạn phải thuyết phục người dùng mở tệp.
Mô phỏng phần mềm lưu trữ tệp
Nhà nghiên cứu bảo mật có biệt danh “mr.d0x” đã phát triển một bộ công cụ lừa đảo thông minh cho phép người sử dụng tạo các phiên bản WinRar giả mạo trong trình duyệt và Windows File Explorer được hiển thị trên các tên miền ZIP để đánh lừa người dùng nghĩ rằng họ đang mở tệp ZIP.
"Với bộ tấn công này, bạn mô phỏng một phần mềm lưu trữ tệp (ví dụ như WinRAR) trong trình duyệt và sử dụng tên miền ZIP để làm cho nó có vẻ hợp pháp hơn", mr.d0x cho biết. Bộ công cụ lừa đảo có thể được sử dụng để nhúng trực tiếp cửa sổ WinRar giả vào trình duyệt khi tên miền ZIP được mở, khiến nó giống như người dùng đã mở một kho lưu trữ tệp ZIP và hiện đang xem các tệp trong đó.
.jpg)
Mô phỏng WinRar trong trình duyệt
Để làm cho cửa sổ WinRar giả mạo này trở nên thuyết phục hơn, các nhà nghiên cứu đã triển khai một nút “Scan” giả, nút này khi được kích chọn sẽ cho biết rằng các tệp đã được quét và không phát hiện thấy mối đe dọa nào.
.jpg)
Trình quét tệp giả
Mặc dù bộ công cụ vẫn hiển thị thanh địa chỉ của trình duyệt, nhưng nó vẫn có khả năng đánh lừa một số người dùng nghĩ rằng đây là một kho lưu trữ WinRar hợp pháp. Hơn nữa, CSS và HTML có thể được sử dụng để tinh chỉnh thêm bộ công cụ.
Lạm dụng bộ công cụ lừa đảo
Mr.d0x giải thích rằng bộ công cụ lừa đảo này có thể được sử dụng cho cả hành vi đánh cắp thông tin xác thực và phân phối phần mềm độc hại. Ví dụ, nếu người dùng nhấp đúp vào tệp PDF trong cửa sổ WinRar giả, nó có thể chuyển hướng người dùng đến một trang khác yêu cầu thông tin đăng nhập của họ để xem tệp đúng cách.
Bộ công cụ cũng có thể được sử dụng để phân phối phần mềm độc hại bằng cách hiển thị tệp PDF và tải xuống tệp .exe có tên tương tự. Ví dụ: cửa sổ lưu trữ giả mạo có thể hiển thị tệp document.pdf nhưng khi được nhấp vào, trình duyệt sẽ tải xuống document.pdf.exe.
Vì Windows không hiển thị phần mở rộng tệp theo mặc định, người dùng sẽ chỉ nhìn thấy tệp PDF trong thư mục tải xuống của họ và có khả năng nhấp đúp vào tệp đó mà không nhận ra đó là tệp thực thi. Mối quan tâm đặc biệt là cách Windows tìm kiếm các tệp và khi không tìm thấy, sẽ cố gắng mở chuỗi đã tìm kiếm trong trình duyệt. Nếu chuỗi đó là một miền hợp lệ, thì trang web sẽ được mở, nếu không, nó sẽ hiển thị kết quả thông qua trang tìm kiếm Bing.
Nếu người dùng đăng ký miền ZIP giống với tên tệp phổ biến và ai đó thực hiện tìm kiếm trong Windows, hệ điều hành sẽ tự động mở trang web trong trình duyệt. Nếu trang web đó lưu trữ bộ công cụ lừa đảo “File Archiver In The Browser”, nó có thể đánh lừa người dùng nghĩ rằng WinRar đã hiển thị một kho lưu trữ ZIP thực sự. Kỹ thuật này minh họa cách tên miền ZIP có thể bị lạm dụng để tạo ra các cuộc tấn công lừa đảo thông minh và phân phối phần mềm độc hại hoặc đánh cắp thông tin xác thực.
Gia tăng các cuộc tấn công lừa đảo
Các cuộc tấn công lừa đảo đang ngày càng trở nên tinh vi hơn, với việc các tin tặc ngày càng tập trung vào việc đóng gói các bộ công cụ có khả năng tránh bị phát hiện, chẳng hạn như sử dụng các phần mềm chống virus và các thư mục động.
Theo thống kê của công ty an ninh mạng Group-IB (Singapore), trong năm 2022 đã tăng 25% số vụ việc sử dụng các bộ công cụ lừa đảo, xác định được 3.677 bộ công cụ duy nhất so với năm 2021. Đáng quan tâm đặc biệt là xu hướng sử dụng Telegram để thu thập dữ liệu bị đánh cắp đang gia tăng, với tỉ lệ tăng gần gấp đôi từ 5,6% vào năm 2021 lên 9,4% vào năm 2022.
Ngọc Ngân
10:00 | 16/05/2023
14:00 | 11/10/2023
14:00 | 22/06/2023
08:00 | 19/01/2024
13:00 | 04/08/2023
08:00 | 10/02/2024
17:00 | 05/05/2023
14:00 | 23/06/2023
16:00 | 05/04/2023
11:00 | 07/05/2024
Sắp tới, ngày 09/5/2024, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng - Cơ quan thường trực Ban Chỉ đạo chuyển đổi số của Ban Cơ yếu Chính phủ sẽ tổ chức Hội thảo chuyển đổi số 2024. Hội nghị sẽ có sự tham dự của Lãnh đạo Ban Cơ yếu Chính phủ; đại diện Lãnh đạo các hệ Cơ yếu và đại diện lãnh đạo các cơ quan, đơn vị trong Ban Cơ yếu Chính phủ.
11:00 | 04/04/2024
Kết quả điều tra xử lý các sự cố tấn công mã độc tống tiền (ransomware) cho thấy, phương thức, thủ đoạn của nhóm tội phạm hết sức tinh vi, nguy hiểm, kịch bản tấn công có nhiều điểm tương đồng.
09:00 | 28/03/2024
Trong thông báo mới nhất gửi đến nhà đầu tư chiều ngày 27/3, chứng khoán VNDirect cho biết hệ thống đã được khôi phục và đang tiến hành rà soát, đánh giá hệ thống để đảm bảo tuyệt đối về an toàn an ninh cho khách hàng giao dịch tại công ty.
13:00 | 26/02/2024
OpenAI đã xóa các tài khoản được sử dụng bởi các nhóm tin tặc do nhà nước bảo trợ từ Iran, Triều Tiên, Trung Quốc và Nga, những tài khoản được cho là đang lạm dụng ChatGPT nhằm thực hiện các hành vi độc hại.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 7/5, ByteDance kiện lên Tòa án liên bang Hoa Kỳ nhằm tìm cách ngăn chặn một đạo luật do Tổng thống Joe Biden ký nhằm buộc ByteDance phải thoái vốn khỏi ứng dụng video ngắn TikTok nếu không sẽ bị cấm tại Mỹ.
09:00 | 15/05/2024
