Nhà nghiên cứu Jacob Malimban tới từ hãng bảo mật Cofense (Mỹ) cho biết: “Trong chiến dịch này, những kẻ tấn công đã sử dụng các kho lưu trữ đáng tin cậy để phát tán phần mềm độc hại, đây là phương pháp tương đối mới so với việc các tác nhân đe dọa tạo ra các kho lưu trữ GitHub độc hại của riêng họ”.
Trọng tâm của chuỗi tấn công là việc lạm dụng cơ sở hạ tầng GitHub để phân phối các payload độc hại. Một biến thể của kỹ thuật này, lần đầu tiên được các nhà nghiên cứu OALABS Research tiết lộ vào tháng 3/2024, trong đó các tin tặc đã mở một issue GitHub (một tính năng cho phép người dùng báo cáo sự cố, đề xuất các tính năng mới hoặc thảo luận về bất kỳ chủ đề nào liên quan đến dự án phần mềm) trên các kho lưu trữ nổi tiếng và tải lên đó một payload độc hại, sau đó đóng issue mà không lưu lại.
Khi thực hiện như vậy, các nhà nghiên cứu phát hiện ra rằng phần mềm độc hại được tải lên vẫn tồn tại ngay cả khi issue không bao giờ được lưu, một phương thức dễ bị lợi dụng vì nó cho phép kẻ tấn công tải lên bất kỳ tệp nào chúng chọn và không để lại bất kỳ dấu vết nào ngoại trừ liên kết đến chính tệp đó.
Phương pháp này đã được sử dụng để đánh lừa người dùng tải xuống trình tải phần mềm độc hại Lua có khả năng duy trì lâu dài trên các hệ thống bị lây nhiễm và phân phối thêm các phần mềm độc hại khác.
Chiến dịch lừa đảo được Cofense phát hiện sử dụng một chiến thuật tương tự, điểm khác biệt duy nhất là nó sử dụng các bình luận (comment) GitHub để đính kèm một tệp (tức là phần mềm độc hại), sau đó bình luận này sẽ bị xóa. Giống như trong trường hợp đã đề cập ở trên, liên kết vẫn hoạt động và được phát tán qua email lừa đảo.
Phân phối phần mềm độc hại qua email lừa đảo
“Email có liên kết đến GitHub có hiệu quả trong việc vượt qua giải pháp bảo vệ email Secure Email Gateway (SEG) vì GitHub thường là một tên miền đáng tin cậy. Liên kết GitHub cho phép kẻ tấn công liên kết trực tiếp đến kho lưu trữ phần mềm độc hại trong email mà không cần phải sử dụng Google chuyển hướng, mã QR hoặc các kỹ thuật vượt qua SEG khác”, Malimban cho biết.
Sự phát triển này diễn ra khi hãng bảo mật Barracuda Networks (Mỹ) tiết lộ những phương pháp mới được những kẻ tấn công áp dụng, bao gồm mã QR dựa trên ASCII và Unicode cũng như URL blob như một cách để khiến việc chặn nội dung độc hại và phát hiện trở nên khó khăn hơn.
Nhà nghiên cứu bảo mật Ashitosh Deshnur cho biết: “URI blob được trình duyệt sử dụng để biểu diễn dữ liệu nhị phân hoặc các đối tượng giống tệp (gọi là blob) được lưu trữ tạm thời trong bộ nhớ của trình duyệt. URI blob cho phép các nhà phát triển web làm việc với dữ liệu nhị phân như hình ảnh, video hoặc tệp trực tiếp trong trình duyệt mà không cần phải gửi hoặc truy xuất dữ liệu đó từ máy chủ bên ngoài”.
Bên cạnh đó, nghiên cứu mới đây từ công ty an ninh mạng ESET (Slovakia) cho thấy những kẻ tấn công phát triển bộ công cụ Telekopye Telegram đã mở rộng mục tiêu để nhắm vào các nền tảng đặt phòng trực tuyến như Booking[.]com và Airbnb, với sự gia tăng mạnh các hoạt động được phát hiện vào tháng 7/2024.
Các cuộc tấn công này đặc trưng bởi việc sử dụng tài khoản bị xâm phạm của các khách sạn để liên hệ với các mục tiêu tiềm năng, nêu ra các vấn đề liên quan đến thanh toán đặt phòng và đánh lừa nạn nhân nhấp vào liên kết giả mạo, yêu cầu họ nhập thông tin tài chính của mình.
“Bằng cách sử dụng quyền truy cập vào các tài khoản này, những kẻ tấn công sẽ chọn ra những người dùng vừa mới đặt phòng và chưa thanh toán hoặc thanh toán rất gần đây và liên hệ với họ qua tính năng trò chuyện trên nền tảng”, các nhà nghiên cứu bảo mật Jakub Souček và Radek Jizba cho biết.
Điều này khiến các vụ việc lừa đảo khó phát hiện hơn nhiều, vì thông tin được cung cấp có liên quan trực tiếp đến nạn nhân, được gửi qua nhiều kênh và các trang web giả mạo được liên kết trông giống như thông tin dự kiến.
Vào tháng 12/2023, các quan chức thực thi pháp luật Cộng hòa Séc và Ukraine đã thông báo bắt giữ một số tội phạm mạng bị cáo buộc đã sử dụng bot Telegram độc hại. “Các lập trình viên đã tạo ra, cập nhật, bảo trì và cải thiện chức năng của bot Telegram và các công cụ lừa đảo, cũng như đảm bảo tính ẩn danh của đồng phạm trên Internet và chia sẻ về việc che giấu hoạt động tội phạm”, Cảnh sát Cộng hòa Séc cho biết trong một tuyên bố vào thời điểm đó.
Vũ Mạnh Hà
(The Hacker News)
08:00 | 24/10/2024
14:00 | 06/08/2024
14:00 | 31/07/2024
08:00 | 22/07/2024
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
15:00 | 04/08/2024
Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.
13:00 | 01/08/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024