Trang đăng nhập giả mạo của TodayZoo vào tháng 8/2021
Trên thực tế, những trường hợp đầu tiên sử dụng bộ công cụ TodayZoo đã được các chuyên gia bảo mật tại Microsoft 365 Defender Threat Intelligence phát hiện vào tháng 12/2020. Sau đó, kể từ tháng 3/2021, Microsoft đã quan sát thấy một loạt các chiến dịch lừa đảo, lợi dụng tên miền AwsApps[.]Com để gửi các email mạo danh hướng đến người dùng với kỹ thuật làm rối zero-point font để tránh bị phát hiện.
Các nhà nghiên cứu cho biết: “Với sự phong phú của các bộ công cụ phishing dùng để tấn công lừa đảo và các công cụ khác được rao bán hoặc cho thuê trên khắp các diễn đàn “chợ đen”, điều này giúp cho tin tặc dễ dàng lựa chọn những tính năng tốt nhất để tiến hành khai thác. Chúng kết hợp những chức năng này với nhau trong một bộ công cụ tùy chỉnh để có thể đạt được những mục tiêu riêng của mình. TodayZoo là một trường hợp điển hình như vậy”.
Những bộ công cụ phishing thường được bán dưới dạng thanh toán một lần, dưới dạng các tệp lưu trữ được đóng gói (chứa các hình ảnh, đoạn script và các trang HTML), cho phép tin tặc có thể thiết lập email và trang lừa đảo làm “mồi nhử”, để thu thập và gửi thông tin đăng nhập đến một máy chủ do tin tặc kiểm soát.
Mã nguồn HTML TodayZoo mô tả quá trình lọc thông tin xác thực
Chiến dịch TodayZoo tương tự như các cuộc tấn công lừa đảo khác, không có sự khác biệt lớn khi sử dụng kỹ nghệ xã hội, gửi những email mạo danh Microsoft đến các nạn nhân và yêu cầu đặt lại mật khẩu hoặc thông báo qua máy fax và máy scan, để chuyển hướng những nạn nhân này đến các trang web thu thập thông tin đăng nhập.
Ví dụ về thông báo của bộ công cụ TodayZoo
Điểm nổi bật chính là TodayZoo kết hợp các đoạn mã được chia sẻ từ các bộ công cụ khác thường được sử dụng lại với nhau, trong đó một số công cụ có sẵn có thể truy cập công khai hoặc được tái sử dụng và đóng gói lại bởi những người bán lẻ khác.
Mã nguồn của TodayZoo tham chiếu đến DanceVida[.]com
Cụ thể, TodayZoo bị ảnh hưởng nhiều bởi “DanceVida” - một bộ công cụ phishing nổi tiếng đã từng được rất nhiều tin tặc sử dụng trong các cuộc tấn công lừa đảo. Bên cạnh đó, TodayZoo cũng kết hợp một số thành phần liên quan đến làm rối (obfuscation) hay đánh cắp thông tin xác thực (credential harvesting) trong những bộ công cụ khác bao gồm: Botssoft, FLCFood, Office-RD117, WikiRed và Zenfo.
Theo Microsoft, mặc dù dựa trên các mô-đun cũ, TodayZoo lại có sự khác biệt trong thành phần thu thập thông tin xác thực bằng cách thay thế chức năng ban đầu bằng kiểu lọc thông tin riêng của nó. Ví dụ như trong các hình dưới đây là hai đoạn mã so sánh của TodayZoo với DanceVida được lựa chọn ngẫu nhiên, cả hai ban đầu đều có cấu trúc và các đoạn mã tương tự nhau, cho đến khi TodayZoo có phần khác biệt trong thành phần thu thập thông tin xác thực.
TodayZoo thay đổi một số biến phù hợp sau khi được tham chiếu từ DanceVida
So sánh bộ công cụ DanceVida và TodayZoo cho thấy cách triển khai khác nhau trong phần thông tin xác thực
“Nghiên cứu này chứng minh thêm rằng hầu hết các bộ công cụ phishing có sẵn ngày nay đều dựa trên một nhóm nhỏ trong các bộ công cụ lớn hơn. Mặc dù đã được phát hiện trước đây, nhưng nó vẫn tiếp tục là xu hướng, dựa trên cách mà các bộ công cụ phishing chia sẻ một lượng lớn các đoạn mã giữa chúng”, theo phân tích của Microsoft.
TodayZoo cho thấy sự đa dạng về các kỹ thuật lừa đảo khác nhau được tin tặc sử dụng cho mục đích bất chính như thế nào, cho dù đó là thuê từ nhà cung cấp dịch vụ phishing (PhaaS) hoặc bằng cách xây dựng các biến thể riêng phù hợp với mục tiêu của chúng.
Đinh Hồng Đạt
15:00 | 18/10/2021
13:00 | 24/03/2022
09:00 | 12/03/2020
08:00 | 18/01/2022
15:00 | 11/05/2021
07:00 | 29/03/2024
Trong tháng 3/2024, Microsoft, Adobe và Google lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
07:00 | 14/03/2024
Nhà sản xuất chip lớn nhất của Mỹ Qualcomm vừa phát hành bản bản vá tháng 3 cho 16 lỗ hổng bảo mật. Đáng chú ý, 2 lỗ nghiêm trọng định danh CVE-2023-28578 và CVE-2023-28582 khiến hàng tỷ thiết bị đối mặt với nguy cơ bị tấn công.
09:00 | 12/12/2023
Không gian mạng đã và đang trở thành một phần không thể tách rời của cuộc sống, đặc biệt đối với trẻ em là những đối tượng đang sử dụng công nghệ trong học tập và sinh hoạt hàng ngày. Tuy nhiên hiện nay các tác nhân độc hại, những mối nguy hiểm luôn thường trực đối với trẻ em khi sử dụng internet hàng ngày mà cha mẹ không thể kiểm soát hết được. Một trong những thách thức hàng đầu của cha mẹ hiện nay là việc tìm kiếm các công cụ hỗ trợ để đồng hành cùng con trên môi trường mạng. Dưới đây là một số giải pháp hỗ trợ bảo vệ trẻ em trên môi trường mạng hiện có tại Việt Nam mà các bậc phụ huynh, thầy cô giáo có thể tham khảo.
13:00 | 20/11/2023
Cradlepoint, công ty hàng đầu thế giới về các giải pháp kết nối biên không dây 5G và LTE được quản lý trên đám mây đã công bố giải pháp Biên dịch vụ truy cập an toàn (Secure Access Service Edge - SASE) được tối ưu hóa cho 5G vào cuối tháng 7/2023. 5G SASE của Cradlepoint được thiết kế cho các loại hình doanh nghiệp và được xây dựng có mục đích triển khai mạng diện rộng (WAN) không dây. Việc triển khai theo từng giai đoạn giải pháp 5G SASE sẽ cho phép các doanh nghiệp tạo môi trường SD-WAN và không dây kết hợp nhằm tối ưu hóa tính khả dụng, chất lượng dịch vụ và bảo mật cho các vị trí biên, phân tán và di động.
Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 04/05/2024