Nhà nghiên cứu Jacob Malimban tới từ hãng bảo mật Cofense (Mỹ) cho biết: “Trong chiến dịch này, những kẻ tấn công đã sử dụng các kho lưu trữ đáng tin cậy để phát tán phần mềm độc hại, đây là phương pháp tương đối mới so với việc các tác nhân đe dọa tạo ra các kho lưu trữ GitHub độc hại của riêng họ”.
Trọng tâm của chuỗi tấn công là việc lạm dụng cơ sở hạ tầng GitHub để phân phối các payload độc hại. Một biến thể của kỹ thuật này, lần đầu tiên được các nhà nghiên cứu OALABS Research tiết lộ vào tháng 3/2024, trong đó các tin tặc đã mở một issue GitHub (một tính năng cho phép người dùng báo cáo sự cố, đề xuất các tính năng mới hoặc thảo luận về bất kỳ chủ đề nào liên quan đến dự án phần mềm) trên các kho lưu trữ nổi tiếng và tải lên đó một payload độc hại, sau đó đóng issue mà không lưu lại.
Khi thực hiện như vậy, các nhà nghiên cứu phát hiện ra rằng phần mềm độc hại được tải lên vẫn tồn tại ngay cả khi issue không bao giờ được lưu, một phương thức dễ bị lợi dụng vì nó cho phép kẻ tấn công tải lên bất kỳ tệp nào chúng chọn và không để lại bất kỳ dấu vết nào ngoại trừ liên kết đến chính tệp đó.
Phương pháp này đã được sử dụng để đánh lừa người dùng tải xuống trình tải phần mềm độc hại Lua có khả năng duy trì lâu dài trên các hệ thống bị lây nhiễm và phân phối thêm các phần mềm độc hại khác.
Chiến dịch lừa đảo được Cofense phát hiện sử dụng một chiến thuật tương tự, điểm khác biệt duy nhất là nó sử dụng các bình luận (comment) GitHub để đính kèm một tệp (tức là phần mềm độc hại), sau đó bình luận này sẽ bị xóa. Giống như trong trường hợp đã đề cập ở trên, liên kết vẫn hoạt động và được phát tán qua email lừa đảo.
Phân phối phần mềm độc hại qua email lừa đảo
“Email có liên kết đến GitHub có hiệu quả trong việc vượt qua giải pháp bảo vệ email Secure Email Gateway (SEG) vì GitHub thường là một tên miền đáng tin cậy. Liên kết GitHub cho phép kẻ tấn công liên kết trực tiếp đến kho lưu trữ phần mềm độc hại trong email mà không cần phải sử dụng Google chuyển hướng, mã QR hoặc các kỹ thuật vượt qua SEG khác”, Malimban cho biết.
Sự phát triển này diễn ra khi hãng bảo mật Barracuda Networks (Mỹ) tiết lộ những phương pháp mới được những kẻ tấn công áp dụng, bao gồm mã QR dựa trên ASCII và Unicode cũng như URL blob như một cách để khiến việc chặn nội dung độc hại và phát hiện trở nên khó khăn hơn.
Nhà nghiên cứu bảo mật Ashitosh Deshnur cho biết: “URI blob được trình duyệt sử dụng để biểu diễn dữ liệu nhị phân hoặc các đối tượng giống tệp (gọi là blob) được lưu trữ tạm thời trong bộ nhớ của trình duyệt. URI blob cho phép các nhà phát triển web làm việc với dữ liệu nhị phân như hình ảnh, video hoặc tệp trực tiếp trong trình duyệt mà không cần phải gửi hoặc truy xuất dữ liệu đó từ máy chủ bên ngoài”.
Bên cạnh đó, nghiên cứu mới đây từ công ty an ninh mạng ESET (Slovakia) cho thấy những kẻ tấn công phát triển bộ công cụ Telekopye Telegram đã mở rộng mục tiêu để nhắm vào các nền tảng đặt phòng trực tuyến như Booking[.]com và Airbnb, với sự gia tăng mạnh các hoạt động được phát hiện vào tháng 7/2024.
Các cuộc tấn công này đặc trưng bởi việc sử dụng tài khoản bị xâm phạm của các khách sạn để liên hệ với các mục tiêu tiềm năng, nêu ra các vấn đề liên quan đến thanh toán đặt phòng và đánh lừa nạn nhân nhấp vào liên kết giả mạo, yêu cầu họ nhập thông tin tài chính của mình.
“Bằng cách sử dụng quyền truy cập vào các tài khoản này, những kẻ tấn công sẽ chọn ra những người dùng vừa mới đặt phòng và chưa thanh toán hoặc thanh toán rất gần đây và liên hệ với họ qua tính năng trò chuyện trên nền tảng”, các nhà nghiên cứu bảo mật Jakub Souček và Radek Jizba cho biết.
Điều này khiến các vụ việc lừa đảo khó phát hiện hơn nhiều, vì thông tin được cung cấp có liên quan trực tiếp đến nạn nhân, được gửi qua nhiều kênh và các trang web giả mạo được liên kết trông giống như thông tin dự kiến.
Vào tháng 12/2023, các quan chức thực thi pháp luật Cộng hòa Séc và Ukraine đã thông báo bắt giữ một số tội phạm mạng bị cáo buộc đã sử dụng bot Telegram độc hại. “Các lập trình viên đã tạo ra, cập nhật, bảo trì và cải thiện chức năng của bot Telegram và các công cụ lừa đảo, cũng như đảm bảo tính ẩn danh của đồng phạm trên Internet và chia sẻ về việc che giấu hoạt động tội phạm”, Cảnh sát Cộng hòa Séc cho biết trong một tuyên bố vào thời điểm đó.
Vũ Mạnh Hà
(The Hacker News)
14:00 | 06/08/2024
08:00 | 24/10/2024
16:00 | 06/12/2024
14:00 | 31/07/2024
10:00 | 26/11/2024
08:00 | 22/07/2024
07:00 | 07/11/2024
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
13:00 | 09/10/2024
Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024