Gần đây, các biểu mẫu “liên quan tới chúng tôi” trên trang web của công ty thường được tin tặc sử dụng để tiếp cận với những nhân viên có trách nhiệm nhận yêu cầu liên hệ từ công chúng.
Một tính năng đáng chú ý của cuộc tấn công là tin tặc sử dụng các biểu mẫu liên hệ để gửi cho nhân viên các URL hợp pháp của Google, yêu cầu người dùng đăng nhập bằng tên người dùng và mật khẩu Google của họ.
Microsoft coi mối đe dọa này đủ nghiêm trọng để báo cáo các cuộc tấn công cho nhóm bảo mật của Google nhằm cảnh báo tội phạm mạng đang sử dụng các URL hợp pháp của Google để gửi phần mềm độc hại. Các URL của Google rất hữu ích đối với những kẻ tấn công vì chúng sẽ vượt qua các bộ lọc bảo mật email. Những kẻ tấn công dường như cũng đã vượt qua các thử thách CAPTCHA được sử dụng để kiểm tra xem việc gửi thông tin liên hệ có phải do con người thực hiện hay không.
“Những kẻ tấn công đang lạm dụng cơ sở hạ tầng hợp pháp, chẳng hạn như biểu mẫu liên hệ của các trang web, để vượt qua các biện pháp bảo vệ, khiến mối đe dọa này rất dễ qua mặt các biện pháp kiểm soát. Ngoài ra, những kẻ tấn công sử dụng các URL hợp pháp, trong trường hợp này là các URL của Google yêu cầu đối tượng bị nhắm mục tiêu đăng nhập bằng thông tin đăng nhập Google của họ”, ghi chú của Microsoft 365 Defender Threat Intelligence Team cho biết.
Microsoft lo ngại về kỹ thuật được sử dụng và hiện đã phát hiện tội phạm sử dụng các URL trong email để gửi phần mềm độc hại IcedID. Nhưng nó cũng có thể dễ dàng được sử dụng để truyền các phần mềm độc hại khác.
IcedID là một trojan ngân hàng đánh cắp thông tin và có thể được sử dụng như một điểm vào cho các cuộc tấn công tiếp theo, chẳng hạn như ransomware vận hành thủ công cho các mục tiêu có giá trị cao. Các cuộc tấn công ransomware do con người điều hành ngày càng phổ biến và yêu cầu kẻ tấn công phải làm việc trực tiếp với máy tính và dàn dựng cuộc tấn công, trái ngược với một cuộc tấn công tự động.
“Chúng tôi đã quan sát thấy một loạt các email nhắm mục tiêu đến các doanh nghiệp bằng cách lạm dụng biểu mẫu liên hệ của các công ty. Điều này cho thấy rằng những kẻ tấn công có thể đã sử dụng một công cụ tự động hóa quy trình này trong khi phá vỡ các biện pháp bảo vệ của CAPTCHA”, Microsoft cho biết.
Đây là một cuộc tấn công mà các công ty và cơ quan chính phủ khó có thể phát hiện, vì email đến tay nhân viên từ biểu mẫu liên hệ và hệ thống tiếp thị qua email của chính họ.
“Vì các email bắt nguồn từ biểu mẫu liên hệ của chính người nhận trên trang web của họ, các mẫu email phù hợp với những gì họ mong đợi từ một tương tác hoặc yêu cầu thực tế của khách hàng”, Microsoft lưu ý.
Những kẻ tấn công sử dụng ngôn ngữ gây áp lực buộc nhân viên phải trả lời, ví dụ như tuyên bố sai rằng trang web được nhắm mục tiêu đang sử dụng hình ảnh có bản quyền. Email chứa một liên kết đến trang sites.google.com nơi nhân viên có nhiệm vụ xem các hình ảnh được cho là vi phạm.
Nếu nhân viên thực hiện công việc của họ và điều tra khiếu nại bằng cách đăng nhập vào trang web, trang sites.google.com sẽ tự động tải xuống tệp ZIP có tệp JavaScript, từ đó tải xuống phần mềm độc hại IcedID dưới dạng tệp .DAT. Nó cũng tải xuống một thành phần của bộ kiểm tra thâm nhập có tên Cobalt Strike, cho phép kẻ tấn công điều khiển thiết bị qua Internet.
Nguyễn Anh Tuấn (theo ZDNet)
20:00 | 30/06/2021
09:00 | 02/04/2021
14:00 | 23/03/2021
13:00 | 03/02/2021
10:00 | 08/04/2022
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
15:00 | 15/11/2023
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024