Công ty an ninh mạng Genians của Hàn Quốc cho biết: "Email lừa đảo chủ yếu được gửi qua các dịch vụ email tại Nhật Bản và Hàn Quốc cho đến đầu tháng 9/2024, sau đó từ giữa tháng 9, một số email lừa đảo được ngụy trang với địa chỉ người gửi từ Nga đã bị phát hiện".
Hành động của tin tặc bao gồm việc lạm dụng dịch vụ email Mail[.]ru của VK, hỗ trợ 5 tên miền bí danh khác nhau gồm: mail[.]ru, internet[.]ru, bk[.]ru, inbox[.]ru và list[.]ru.
Genians cho biết họ đã quan sát thấy nhóm tin tặc Kimsuky lợi dụng tất cả các tên miền người gửi đã đề cập ở trên cho chiến dịch lừa đảo trá hình thành các tổ chức tài chính và cổng thông tin Internet như Naver.
Các cuộc tấn công lừa đảo khác bao gồm việc gửi các tin nhắn bắt chước dịch vụ lưu trữ đám mây MYBOX của Naver, nhằm mục đích đánh lừa người dùng nhấp vào các liên kết bằng cách tạo ra các thông báo cho người nhận rằng các tệp độc hại đã được phát hiện trong tài khoản của họ và họ cần phải xóa chúng.
Các biến thể của email lừa đảo bắt trước MYBOX đã được ghi nhận kể từ cuối tháng 4/2024, với các đợt tấn công đầu tiên sử dụng tên miền Nhật Bản, Hàn Quốc và Hoa Kỳ làm địa chỉ người gửi.
Email của nhóm tin tặc Kimsuky có liên kết với Triều Tiên
Thời gian tin tặc tấn công đánh cắp thông tin xác thực theo Genians
Mặc dù, nhóm tin nhắn này bề ngoài sử dụng email gửi từ các miền như "mmbox[.]ru" và "ncloud[.]ru", nhưng các phân tích sâu hơn đã tiết lộ rằng chúng đã lợi dụng một máy chủ email bị xâm phạm thuộc Đại học Evangelia (evangelia[.]edu) để gửi tin nhắn bằng dịch vụ gửi thư dựa trên PHP có tên là Star.
Điều đáng chú ý là việc chúng sử dụng các công cụ email hợp pháp như PHPMailer và Star đã từng được công ty bảo mật doanh nghiệp Proofpoint ghi nhận vào tháng 11/2021.
Theo Genians, mục tiêu cuối cùng của các cuộc tấn công này là thực hiện hành vi trộm cắp thông tin đăng nhập, sau đó có thể dùng thông tin này để chiếm đoạt tài khoản của nạn nhân và dùng chúng để thực hiện các cuộc tấn công tiếp theo.
Trong nhiều năm qua, nhóm tin tặc Kimsuky đã chứng minh mình rất thành thạo trong việc thực hiện các chiến dịch tấn công sử dụng kỹ nghệ xã hội để giả mạo người gửi email như thể họ đến từ các bên đáng tin cậy, từ đó có thể tránh được các cuộc kiểm tra bảo mật.
Thanh Bình
14:00 | 07/01/2025
08:00 | 13/11/2024
12:00 | 23/12/2024
08:00 | 05/11/2024
11:00 | 26/08/2024
15:00 | 11/02/2025
Mới đây, Kaspersky Lab đã ghi nhận một loại mã độc mới có khả năng đánh cắp dữ liệu từ ảnh trên iPhone bằng cách sử dụng WannaCry và kỹ thuật nhận dạng ký tự quang học (OCR).
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
08:00 | 16/12/2024
Ngày 3/12, Trung tâm An ninh mạng quốc gia Anh (NCSC) vừa công bố đánh giá thường niên cho thấy các cuộc tấn công mạng nghiêm trọng nhằm vào các tổ chức và công ty của nước này trong 12 tháng qua đã tăng gấp 3 lần năm 2023, trong đó có các sự cố lớn ảnh hưởng đến các bệnh viện ở London và Thư viện quốc gia Anh.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025