Gần đây, các biểu mẫu “liên quan tới chúng tôi” trên trang web của công ty thường được tin tặc sử dụng để tiếp cận với những nhân viên có trách nhiệm nhận yêu cầu liên hệ từ công chúng.

Một tính năng đáng chú ý của cuộc tấn công là tin tặc sử dụng các biểu mẫu liên hệ để gửi cho nhân viên các URL hợp pháp của Google, yêu cầu người dùng đăng nhập bằng tên người dùng và mật khẩu Google của họ.

Microsoft coi mối đe dọa này đủ nghiêm trọng để báo cáo các cuộc tấn công cho nhóm bảo mật của Google nhằm cảnh báo tội phạm mạng đang sử dụng các URL hợp pháp của Google để gửi phần mềm độc hại. Các URL của Google rất hữu ích đối với những kẻ tấn công vì chúng sẽ vượt qua các bộ lọc bảo mật email. Những kẻ tấn công dường như cũng đã vượt qua các thử thách CAPTCHA được sử dụng để kiểm tra xem việc gửi thông tin liên hệ có phải do con người thực hiện hay không.

“Những kẻ tấn công đang lạm dụng cơ sở hạ tầng hợp pháp, chẳng hạn như biểu mẫu liên hệ của các trang web, để vượt qua các biện pháp bảo vệ, khiến mối đe dọa này rất dễ qua mặt các biện pháp kiểm soát. Ngoài ra, những kẻ tấn công sử dụng các URL hợp pháp, trong trường hợp này là các URL của Google yêu cầu đối tượng bị nhắm mục tiêu đăng nhập bằng thông tin đăng nhập Google của họ”, ghi chú của Microsoft 365 Defender Threat Intelligence Team cho biết.

Microsoft lo ngại về kỹ thuật được sử dụng và hiện đã phát hiện tội phạm sử dụng các URL trong email để gửi phần mềm độc hại IcedID. Nhưng nó cũng có thể dễ dàng được sử dụng để truyền các phần mềm độc hại khác.

IcedID là một trojan ngân hàng đánh cắp thông tin và có thể được sử dụng như một điểm vào cho các cuộc tấn công tiếp theo, chẳng hạn như ransomware vận hành thủ công cho các mục tiêu có giá trị cao. Các cuộc tấn công ransomware do con người điều hành ngày càng phổ biến và yêu cầu kẻ tấn công phải làm việc trực tiếp với máy tính và dàn dựng cuộc tấn công, trái ngược với một cuộc tấn công tự động.

“Chúng tôi đã quan sát thấy một loạt các email nhắm mục tiêu đến các doanh nghiệp bằng cách lạm dụng biểu mẫu liên hệ của các công ty. Điều này cho thấy rằng những kẻ tấn công có thể đã sử dụng một công cụ tự động hóa quy trình này trong khi phá vỡ các biện pháp bảo vệ của CAPTCHA”, Microsoft cho biết.

Đây là một cuộc tấn công mà các công ty và cơ quan chính phủ khó có thể phát hiện, vì email đến tay nhân viên từ biểu mẫu liên hệ và hệ thống tiếp thị qua email của chính họ.

“Vì các email bắt nguồn từ biểu mẫu liên hệ của chính người nhận trên trang web của họ, các mẫu email phù hợp với những gì họ mong đợi từ một tương tác hoặc yêu cầu thực tế của khách hàng”, Microsoft lưu ý.

Những kẻ tấn công sử dụng ngôn ngữ gây áp lực buộc nhân viên phải trả lời, ví dụ như tuyên bố sai rằng trang web được nhắm mục tiêu đang sử dụng hình ảnh có bản quyền. Email chứa một liên kết đến trang sites.google.com nơi nhân viên có nhiệm vụ xem các hình ảnh được cho là vi phạm.

Nếu nhân viên thực hiện công việc của họ và điều tra khiếu nại bằng cách đăng nhập vào trang web, trang sites.google.com sẽ tự động tải xuống tệp ZIP có tệp JavaScript, từ đó tải xuống phần mềm độc hại IcedID dưới dạng tệp .DAT. Nó cũng tải xuống một thành phần của bộ kiểm tra thâm nhập có tên Cobalt Strike, cho phép kẻ tấn công điều khiển thiết bị qua Internet.