Trang đăng nhập giả mạo của TodayZoo vào tháng 8/2021
Trên thực tế, những trường hợp đầu tiên sử dụng bộ công cụ TodayZoo đã được các chuyên gia bảo mật tại Microsoft 365 Defender Threat Intelligence phát hiện vào tháng 12/2020. Sau đó, kể từ tháng 3/2021, Microsoft đã quan sát thấy một loạt các chiến dịch lừa đảo, lợi dụng tên miền AwsApps[.]Com để gửi các email mạo danh hướng đến người dùng với kỹ thuật làm rối zero-point font để tránh bị phát hiện.
Các nhà nghiên cứu cho biết: “Với sự phong phú của các bộ công cụ phishing dùng để tấn công lừa đảo và các công cụ khác được rao bán hoặc cho thuê trên khắp các diễn đàn “chợ đen”, điều này giúp cho tin tặc dễ dàng lựa chọn những tính năng tốt nhất để tiến hành khai thác. Chúng kết hợp những chức năng này với nhau trong một bộ công cụ tùy chỉnh để có thể đạt được những mục tiêu riêng của mình. TodayZoo là một trường hợp điển hình như vậy”.
Những bộ công cụ phishing thường được bán dưới dạng thanh toán một lần, dưới dạng các tệp lưu trữ được đóng gói (chứa các hình ảnh, đoạn script và các trang HTML), cho phép tin tặc có thể thiết lập email và trang lừa đảo làm “mồi nhử”, để thu thập và gửi thông tin đăng nhập đến một máy chủ do tin tặc kiểm soát.
Mã nguồn HTML TodayZoo mô tả quá trình lọc thông tin xác thực
Chiến dịch TodayZoo tương tự như các cuộc tấn công lừa đảo khác, không có sự khác biệt lớn khi sử dụng kỹ nghệ xã hội, gửi những email mạo danh Microsoft đến các nạn nhân và yêu cầu đặt lại mật khẩu hoặc thông báo qua máy fax và máy scan, để chuyển hướng những nạn nhân này đến các trang web thu thập thông tin đăng nhập.
Ví dụ về thông báo của bộ công cụ TodayZoo
Điểm nổi bật chính là TodayZoo kết hợp các đoạn mã được chia sẻ từ các bộ công cụ khác thường được sử dụng lại với nhau, trong đó một số công cụ có sẵn có thể truy cập công khai hoặc được tái sử dụng và đóng gói lại bởi những người bán lẻ khác.
Mã nguồn của TodayZoo tham chiếu đến DanceVida[.]com
Cụ thể, TodayZoo bị ảnh hưởng nhiều bởi “DanceVida” - một bộ công cụ phishing nổi tiếng đã từng được rất nhiều tin tặc sử dụng trong các cuộc tấn công lừa đảo. Bên cạnh đó, TodayZoo cũng kết hợp một số thành phần liên quan đến làm rối (obfuscation) hay đánh cắp thông tin xác thực (credential harvesting) trong những bộ công cụ khác bao gồm: Botssoft, FLCFood, Office-RD117, WikiRed và Zenfo.
Theo Microsoft, mặc dù dựa trên các mô-đun cũ, TodayZoo lại có sự khác biệt trong thành phần thu thập thông tin xác thực bằng cách thay thế chức năng ban đầu bằng kiểu lọc thông tin riêng của nó. Ví dụ như trong các hình dưới đây là hai đoạn mã so sánh của TodayZoo với DanceVida được lựa chọn ngẫu nhiên, cả hai ban đầu đều có cấu trúc và các đoạn mã tương tự nhau, cho đến khi TodayZoo có phần khác biệt trong thành phần thu thập thông tin xác thực.
TodayZoo thay đổi một số biến phù hợp sau khi được tham chiếu từ DanceVida
So sánh bộ công cụ DanceVida và TodayZoo cho thấy cách triển khai khác nhau trong phần thông tin xác thực
“Nghiên cứu này chứng minh thêm rằng hầu hết các bộ công cụ phishing có sẵn ngày nay đều dựa trên một nhóm nhỏ trong các bộ công cụ lớn hơn. Mặc dù đã được phát hiện trước đây, nhưng nó vẫn tiếp tục là xu hướng, dựa trên cách mà các bộ công cụ phishing chia sẻ một lượng lớn các đoạn mã giữa chúng”, theo phân tích của Microsoft.
TodayZoo cho thấy sự đa dạng về các kỹ thuật lừa đảo khác nhau được tin tặc sử dụng cho mục đích bất chính như thế nào, cho dù đó là thuê từ nhà cung cấp dịch vụ phishing (PhaaS) hoặc bằng cách xây dựng các biến thể riêng phù hợp với mục tiêu của chúng.
Đinh Hồng Đạt
15:00 | 18/10/2021
13:00 | 24/03/2022
09:00 | 12/03/2020
08:00 | 18/01/2022
15:00 | 11/05/2021
13:00 | 05/04/2024
Các nhà phát triển ví tiền điện tử Leather cảnh báo về một ứng dụng giả mạo trên Apple App Store. Nguyên nhân bởi nhiều người dùng đã báo cáo rằng họ bị mất tiền sau khi nhập chuỗi bí mật vào ví Leather giả.
07:00 | 29/03/2024
Trong tháng 3/2024, Microsoft, Adobe và Google lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
15:00 | 26/01/2024
Mới đây, Fortinet đã công bố giải pháp bảo mật mạng toàn diện đầu tiên và duy nhất trong ngành tích hợp Wifi 7 với tên gọi FortiAP 441K, mang đến tốc độ và dung lượng cao hơn; bộ chuyển mạch FortiSwitch T1024 mới được thiết kế nhằm đáp ứng khả năng truy cập Ethernet 10 Gigabit (10GbE) và công nghệ cấp nguồn qua Ethernet 90W đảm bảo hỗ trợ đầy đủ cho nhu cầu băng thông của Wifi 7.
07:00 | 15/01/2024
Trong tháng 12, các chuyên gia bảo mật đã ghi nhận 2.677 lỗ hổng bảo mật mới. Trong đó có 48 lỗ hổng bảo mật ở mức thấp, 1.078 lỗ hổng bảo mật ở mức trung bình, 998 lỗ hổng bảo mật ở mức cao và 553 lỗ hổng bảo mật ở mức nghiêm trọng.
Ngày 16/4, nhiều người dùng Facebook tại Việt Nam phản ánh về tình trạng không hiện thị các bài đăng trên trang cá nhân. Trong khi đó, nội dung vẫn được phân phối trên bảng tin bình thường.
10:00 | 22/04/2024