Được đặt tên là LogoKit, công cụ lừa đảo này đã được triển khai trong thực tế, theo công ty tình báo mối đe dọa RiskIQ đã theo dõi sự phát triển của nó.
Công ty cho biết họ đã xác định được số lượt cài đặt LogoKit trên hơn 300 tên miền trong tuần qua và hơn 700 trang web trong tháng qua.
Hãng bảo mật cho biết LogoKit dựa vào việc gửi cho người dùng các liên kết lừa đảo chứa địa chỉ email của họ.
"Sau khi nạn nhân truy cập URL, LogoKit sẽ lấy các logo công ty từ một dịch vụ của bên thứ ba, chẳng hạn như Clearbit hoặc cơ sở dữ liệu favicon của Google" nhà nghiên cứu an ninh RiskIQ Adam Castleman cho biết trong một báo cáo hôm 27/1.
"Email nạn nhân cũng được tự động điền vào trường email hoặc tên người dùng, đánh lừa nạn nhân cảm thấy như họ đã đăng nhập vào trang web trước đó", ông nói thêm.
"Nếu nạn nhân nhập mật khẩu của họ, LogoKit sẽ thực hiện một yêu cầu AJAX, gửi email và mật khẩu của mục tiêu đến một nguồn bên ngoài và cuối cùng sẽ chuyển hướng người dùng đến trang web công ty (hợp pháp) của họ".
Castleman cho biết LogoKit đạt được điều này chỉ với một bộ hàm JavaScript có thể nhúng thêm vào bất kỳ biểu mẫu đăng nhập chung hoặc tài liệu HTML phức tạp nào.
Điều này khác với các bộ công cụ lừa đảo tiêu chuẩn, hầu hết trong số đó cần các mẫu pixel bắt chước hoàn hảo các trang xác thực của công ty.
Tính mô-đun của bộ công cụ cho phép các nhà khai thác LogoKit nhắm mục tiêu đến bất kỳ công ty nào họ muốn với rất ít công việc tùy chỉnh và thực hiện hàng chục hoặc hàng trăm cuộc tấn công mỗi tuần nhằm vào một loạt mục tiêu.
RiskIQ cho biết trong tháng qua, họ đã thấy LogoKit được sử dụng để bắt chước và tạo các trang đăng nhập cho các dịch vụ khác nhau, từ cổng đăng nhập chung cho đến cổng SharePoint giả, Adobe Document Cloud, OneDrive, Office 365 và một số sàn giao dịch tiền điện tử.
Vì LogoKit rất nhỏ, bộ lừa đảo không phải lúc nào cũng cần thiết lập máy chủ phức tạp của riêng nó, như một số bộ lừa đảo khác vẫn cần. Bộ công cụ có thể được lưu trữ trên các trang web bị tấn công hoặc các trang hợp pháp cho các công ty mà các nhà điều hành LogoKit muốn nhắm mục tiêu.
Hơn nữa, vì LogoKit là một tập hợp các tệp JavaScript, tài nguyên của nó cũng có thể được lưu trữ trên các dịch vụ đáng tin cậy công cộng như Firebase, GitHub, Oracle Cloud và các dịch vụ khác, hầu hết trong số đó sẽ được đưa vào danh sách trắng trong môi trường công ty và kích hoạt khá ít cảnh báo khi được tải bên trong trình duyệt của nhân viên.
RiskIQ cho biết họ theo dõi chặt chẽ mối đe dọa mới này do tính đơn giản của bộ công cụ, mà công ty bảo mật tin rằng sẽ giúp giảm thiểu cơ hội lừa đảo thành công.
Nguyễn Anh Tuấn
theo ZDNet
09:00 | 10/07/2020
10:00 | 04/03/2019
08:00 | 16/06/2020
10:00 | 27/04/2021
08:00 | 20/07/2021
13:00 | 02/08/2022
15:00 | 02/07/2021
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024