Sử dụng hình ảnh xác thực để ngăn chặn quá trình phân tích
Tin tặc ngày càng sử dụng các công cụ hợp pháp để có thể đánh lừa được người dùng và khiến cho chiến dịch tấn công trở nên khả thi hơn. Giờ đây, các tin tặc đã tiến thêm một bước nữa bằng cách sử dụng các giải pháp bảo mật thực tế trong các cuộc tấn công của mình.
Trong một chiến dịch gần đây, các nhà nghiên cứu cho biết các tin tặc đã sử dụng Cyber Panel để tạo hàng trăm tên miền khó hiểu hàng ngày bằng thuật toán tạo miền ngẫu nhiên (RDGA). Các miền này lưu trữ các trang thu thập thông tin xác thực. Vì các miền có tính ngẫu nhiên cao nên các nhà cung cấp dịch vụ lưu trữ gặp khó khăn trong việc xác định và vô hiệu hóa chúng.
Các cuộc tấn công sử dụng hình ảnh xác thực thông thường được những kẻ tấn công nhắm mục tiêu thông qua nền tảng Office 365 và sử dụng email spam làm vectơ ban đầu. Tin tặc dụ người dùng đăng nhập vào những gì có vẻ là phần mềm hợp pháp. Ví dụ Hình 1 dưới đây thể hiện các hình thức thu thập thông tin xác thực được ẩn phía sau dịch vụ Captcha của CloudFlare.
Hình 1. Hình thức thu thập thông tin xác thực thông qua mã Captcha
Bằng cách đặt hình ảnh xác thực hợp pháp của CloudFlare trước nội dung độc hại, về cơ bản, những kẻ tấn công đang đặt lớp bảo mật này chống lại lớp bảo mật khác, đó là do các giải pháp bảo mật tự động, như trình thu thập thông tin web được thiết kế để phát hiện mối đe dọa, bị hình ảnh xác thực chặn lại. Do đó, nội dung sẽ tránh bị gắn cờ là độc hại và các email có liên kết đến trang này sẽ vượt qua các bộ lọc thư rác.
Những kẻ tấn công thêm địa chỉ email của nạn nhân dưới dạng tham số GET sau khi mục tiêu hoàn thành hình ảnh xác thực. Sau đó, chúng thực thi một tập lệnh để trích xuất tên miền của tổ chức mục tiêu, sử dụng dữ liệu này để hiển thị trang đăng nhập tùy chỉnh mạo danh cổng đăng nhập thực tế của nạn nhân.
Sau khi nạn nhân truy cập trang đăng nhập, phần còn lại của cuộc tấn công sẽ tuân theo mô hình thu thập thông tin xác thực tiêu chuẩn. Khi nạn nhân nhập thông tin đăng nhập của họ, thông báo lỗi xác thực “wrong credentials” sẽ hiển thị. Tiếp đó, những kẻ tấn công nhanh chóng chuyển hướng nạn nhân đến một trang web hợp pháp, đồng thời lấy thông tin đăng nhập đến máy chủ chỉ huy ra lệnh và kiểm soát (C2) của chúng.
Quishing - biến thể của lừa đảo sử dụng mã QR để tránh bị phát hiện
Quishing được bắt nguồn từ việc kết hợp mã QR và các chiến thuật lừa đảo tinh vi, là một chiến lược lừa đảo mới đã trở nên phổ biến kể từ giữa năm 2023.
Kỹ thuật này liên quan đến việc kẻ tấn công gửi mã QR chuyển hướng mục tiêu đến một trang web độc hại. Việc nhúng liên kết độc hại vào mã QR giúp kẻ tấn công vượt qua các bộ lọc thư rác vì mã QR thường được coi là an toàn và nhiều công cụ bảo mật thiếu khả năng phân tích nội dung của chúng.
Email thường là điểm lây nhiễm ban đầu trong các chiến dịch tấn công. Trong Hình 2, những kẻ tấn công kết hợp email hóa đơn thanh toán giả và kỹ thuật Quishing.
Hình 2. Kết hợp email hóa đơn thanh toán giả với kỹ thuật Quishing
Kết hợp các kỹ thuật lẩn tránh
Trong một chiến dịch khác mà các nhà nghiên cứu quan sát gần đây, các tác nhân đe dọa kết hợp các phương pháp lừa đảo phổ biến theo cách thông minh để vượt qua khả năng phát hiện của sandbox tự động.
Cuộc tấn công này bắt đầu bằng một email lừa đảo được ngụy trang dưới dạng thông báo của Tòa án tư pháp từ Cộng hòa Colombia. Đính kèm với email là nội dung có vẻ là PDF nhưng thực tế là một hình ảnh được thiết kế để mạo danh một tệp, như trong ví dụ Hình 3.
Hình 3. Email đính kèm giả mạo
Khi được nhấp vào, hình ảnh sẽ chuyển hướng người dùng đến một tệp được lưu trữ trực tuyến, tệp này được mã hóa và bảo vệ bằng mật khẩu. Trong đó, mật khẩu được cung cấp trong phần nội dung của email (Hình 4).
Hình 4. Thông tin mật khẩu được cung cấp trong email giả mạo
Sử dụng hình ảnh làm tệp đính kèm giả mạo là một chiến thuật đã có từ giữa những năm 2010 và việc phân phối payload trong các kho lưu trữ được bảo vệ bằng mật khẩu thậm chí còn là một thủ thuật cũ hơn. Tuy nhiên, việc kết hợp chúng lại với nhau như thế này là một cách mạnh mẽ để tránh bị phân tích tự động.
Hồng Đạt
(Tổng hợp)
10:00 | 07/11/2023
10:00 | 26/10/2023
15:00 | 13/04/2022
17:00 | 12/04/2024
Tin tặc sử dụng dịch vụ quảng cáo trên Facebook và các trang Facebook bị tấn công để quảng bá các dịch vụ AI giả mạo như Midjourney, SORA và ChatGPT-5 của OpenAI và DALL-E, nhằm phát tán phần mềm độc hại đánh cắp mật khẩu của người dùng.
13:00 | 05/04/2024
Chính phủ Hoa Kỳ đang cảnh báo thống đốc các bang về việc tin tặc nước ngoài đang thực hiện các cuộc tấn công mạng gây rối loạn hệ thống nước và nước thải trên khắp đất nước.
14:00 | 26/03/2024
Người dùng và các nhà phát triển đã vô tình tiết lộ khoảng 12,8 triệu dữ liệu bí mật và khóa xác thực nhạy cảm trên GitHub vào năm 2023, tăng 28% so với năm 2022.
16:00 | 15/03/2024
Hàng năm, Microsoft phát hành Báo cáo phòng thủ kỹ thuật số. Đây là một bản đánh giá toàn diện về bối cảnh các mối đe dọa toàn cầu và các xu hướng lớn nhất trong lĩnh vực an ninh mạng. Năm 2023 tiếp tục ghi nhận sự gia tăng các mối đe dọa mạng cả về độ tinh vi cũng như tốc độ và quy mô, gây tổn hại đến các nhóm dịch vụ, thiết bị và người dùng. Các chuyên gia của Microsoft tin rằng trí tuệ nhân tạo (AI) có thể giúp tạo ra một sân chơi bình đẳng nhưng các nhóm bảo mật cần phải có hiểu biết sâu sắc và nguồn lực cần thiết để tận dụng tối đa tiềm năng của công nghệ này.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024