Sử dụng hình ảnh xác thực để ngăn chặn quá trình phân tích
Tin tặc ngày càng sử dụng các công cụ hợp pháp để có thể đánh lừa được người dùng và khiến cho chiến dịch tấn công trở nên khả thi hơn. Giờ đây, các tin tặc đã tiến thêm một bước nữa bằng cách sử dụng các giải pháp bảo mật thực tế trong các cuộc tấn công của mình.
Trong một chiến dịch gần đây, các nhà nghiên cứu cho biết các tin tặc đã sử dụng Cyber Panel để tạo hàng trăm tên miền khó hiểu hàng ngày bằng thuật toán tạo miền ngẫu nhiên (RDGA). Các miền này lưu trữ các trang thu thập thông tin xác thực. Vì các miền có tính ngẫu nhiên cao nên các nhà cung cấp dịch vụ lưu trữ gặp khó khăn trong việc xác định và vô hiệu hóa chúng.
Các cuộc tấn công sử dụng hình ảnh xác thực thông thường được những kẻ tấn công nhắm mục tiêu thông qua nền tảng Office 365 và sử dụng email spam làm vectơ ban đầu. Tin tặc dụ người dùng đăng nhập vào những gì có vẻ là phần mềm hợp pháp. Ví dụ Hình 1 dưới đây thể hiện các hình thức thu thập thông tin xác thực được ẩn phía sau dịch vụ Captcha của CloudFlare.
Hình 1. Hình thức thu thập thông tin xác thực thông qua mã Captcha
Bằng cách đặt hình ảnh xác thực hợp pháp của CloudFlare trước nội dung độc hại, về cơ bản, những kẻ tấn công đang đặt lớp bảo mật này chống lại lớp bảo mật khác, đó là do các giải pháp bảo mật tự động, như trình thu thập thông tin web được thiết kế để phát hiện mối đe dọa, bị hình ảnh xác thực chặn lại. Do đó, nội dung sẽ tránh bị gắn cờ là độc hại và các email có liên kết đến trang này sẽ vượt qua các bộ lọc thư rác.
Những kẻ tấn công thêm địa chỉ email của nạn nhân dưới dạng tham số GET sau khi mục tiêu hoàn thành hình ảnh xác thực. Sau đó, chúng thực thi một tập lệnh để trích xuất tên miền của tổ chức mục tiêu, sử dụng dữ liệu này để hiển thị trang đăng nhập tùy chỉnh mạo danh cổng đăng nhập thực tế của nạn nhân.
Sau khi nạn nhân truy cập trang đăng nhập, phần còn lại của cuộc tấn công sẽ tuân theo mô hình thu thập thông tin xác thực tiêu chuẩn. Khi nạn nhân nhập thông tin đăng nhập của họ, thông báo lỗi xác thực “wrong credentials” sẽ hiển thị. Tiếp đó, những kẻ tấn công nhanh chóng chuyển hướng nạn nhân đến một trang web hợp pháp, đồng thời lấy thông tin đăng nhập đến máy chủ chỉ huy ra lệnh và kiểm soát (C2) của chúng.
Quishing - biến thể của lừa đảo sử dụng mã QR để tránh bị phát hiện
Quishing được bắt nguồn từ việc kết hợp mã QR và các chiến thuật lừa đảo tinh vi, là một chiến lược lừa đảo mới đã trở nên phổ biến kể từ giữa năm 2023.
Kỹ thuật này liên quan đến việc kẻ tấn công gửi mã QR chuyển hướng mục tiêu đến một trang web độc hại. Việc nhúng liên kết độc hại vào mã QR giúp kẻ tấn công vượt qua các bộ lọc thư rác vì mã QR thường được coi là an toàn và nhiều công cụ bảo mật thiếu khả năng phân tích nội dung của chúng.
Email thường là điểm lây nhiễm ban đầu trong các chiến dịch tấn công. Trong Hình 2, những kẻ tấn công kết hợp email hóa đơn thanh toán giả và kỹ thuật Quishing.
Hình 2. Kết hợp email hóa đơn thanh toán giả với kỹ thuật Quishing
Kết hợp các kỹ thuật lẩn tránh
Trong một chiến dịch khác mà các nhà nghiên cứu quan sát gần đây, các tác nhân đe dọa kết hợp các phương pháp lừa đảo phổ biến theo cách thông minh để vượt qua khả năng phát hiện của sandbox tự động.
Cuộc tấn công này bắt đầu bằng một email lừa đảo được ngụy trang dưới dạng thông báo của Tòa án tư pháp từ Cộng hòa Colombia. Đính kèm với email là nội dung có vẻ là PDF nhưng thực tế là một hình ảnh được thiết kế để mạo danh một tệp, như trong ví dụ Hình 3.
Hình 3. Email đính kèm giả mạo
Khi được nhấp vào, hình ảnh sẽ chuyển hướng người dùng đến một tệp được lưu trữ trực tuyến, tệp này được mã hóa và bảo vệ bằng mật khẩu. Trong đó, mật khẩu được cung cấp trong phần nội dung của email (Hình 4).
Hình 4. Thông tin mật khẩu được cung cấp trong email giả mạo
Sử dụng hình ảnh làm tệp đính kèm giả mạo là một chiến thuật đã có từ giữa những năm 2010 và việc phân phối payload trong các kho lưu trữ được bảo vệ bằng mật khẩu thậm chí còn là một thủ thuật cũ hơn. Tuy nhiên, việc kết hợp chúng lại với nhau như thế này là một cách mạnh mẽ để tránh bị phân tích tự động.
Hồng Đạt
(Tổng hợp)
10:00 | 07/11/2023
10:00 | 26/10/2023
15:00 | 13/04/2022
15:00 | 04/04/2024
Chính quyền Đức đã tuyên bố đánh sập một thị trường ngầm bất hợp pháp có tên Nemesis Market chuyên buôn bán các mặt hàng như ma túy, dữ liệu bị đánh cắp và các dịch vụ tội phạm mạng khác.
09:00 | 02/04/2024
Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.
14:00 | 26/03/2024
Người dùng và các nhà phát triển đã vô tình tiết lộ khoảng 12,8 triệu dữ liệu bí mật và khóa xác thực nhạy cảm trên GitHub vào năm 2023, tăng 28% so với năm 2022.
07:00 | 15/02/2024
Theo thống kê của mạng lưới an ninh Kaspersky Security Network (KSN), số lượng người dùng Việt Nam bị ảnh hưởng bởi các mối đe dọa ngoại tuyến giảm đến 57% trong 4 năm qua. Tuy nhiên, con số này vẫn dẫn đầu khu vực Đông Nam Á.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024
