Theo đó, Trellix cho biết họ đã phát hiện một hoạt động lừa đảo mạo danh một nhân viên của Rothschild & Co để nhắm mục tiêu vào các giám đốc tài chính tại các ngân hàng và tổ chức năng lượng, bảo hiểm và đầu tư ở châu Phi, Canada, châu Âu, Trung Đông và Nam Á.
Email độc hại chứa một thông báo giả, được xác định là một trang web lưu trữ trên Firebase và ẩn sau một CAPTCHA tùy chỉnh cho bài kiểm tra toán. Sau khi giải quyết được thử thách, nạn nhân sẽ được cung cấp một tệp ZIP có chứa tập lệnh VBS.
Tập lệnh này có chức năng cài đặt NetBird và OpenSSH bí mật trên hệ thống của nạn nhân, tạo một tài khoản quản trị ẩn và kích hoạt RDP, cung cấp cho kẻ tấn công quyền truy cập từ xa vào máy tính của nạn nhân.
Theo Trellix, cuộc tấn công nhiều giai đoạn này được thiết kế để tránh bị phát hiện từ cả các giải pháp phòng thủ và cá nhân, đồng thời đảm bảo truy cập liên tục vào máy của nạn nhân thông qua công cụ truy cập từ xa hợp pháp NetBird.
Cùng với báo cáo của Trellix, hãng bảo mật Cofense cũng đã công bố phát hiện một chiến dịch lừa đảo khác thông qua việc lạm dụng Google Apps Script, một nền tảng phát triển hợp pháp được tích hợp trên nhiều sản phẩm khác nhau của Google.
Google Apps Script là nền tảng viết script đám mây của Google cho phép người dùng tự động hóa các tác vụ và mở rộng chức năng của các sản phẩm Google Workspace như Google Trang tính, Docs, Drive, Gmail và Calendar. Vì nền tảng này cho phép bất kỳ ai có tài khoản đều có thể xuất bản script dưới dạng ứng dụng web công khai, cấp cho nó một tên miền Google, nên kẻ tấn công có thể dễ dàng chèn các script độc hại trên máy tính của nạn nhân, thông qua email lừa đảo mà không kích hoạt bất kỳ cảnh báo nào.
Hình 1. Trang lừa đảo được lưu trữ trên cơ sở hạ tầng của Google
Bằng cách giả mạo tên miền hợp pháp của một nhà cung cấp thiết bị y tế, chiến dịch này dựa vào các email lừa đảo để tạo cảm giác cấp bách và đánh lừa người nhận nhấp vào một liên kết, dẫn họ đến trang độc hại được lưu trữ trên Google Apps Script.
Cofense cho biết: “Bằng cách lưu trữ trang lừa đảo trong môi trường đáng tin cậy của Google, kẻ tấn công tạo ra ảo giác về tính xác thực. Điều này giúp dễ dàng đánh lừa người nhận cung cấp thông tin nhạy cảm”.
Hình 2. Mẫu email lừa đảo được sử dụng trong các cuộc tấn công
Trang lừa đảo hướng dẫn người dùng nhấp vào nút “preview” để kích hoạt cửa sổ đăng nhập giả mạo, mạo danh trang đăng nhập Microsoft hợp lệ. Toàn bộ thiết lập được lưu trữ trên script[.]google[.]com, nhằm mục đích cung cấp cho người dùng cảm giác tin tưởng, Cofense lưu ý.
Chi tiết về hai chiến dịch này được đưa ra ánh sáng ngay sau khi công ty an ninh mạng ESET cảnh báo về các cuộc tấn công lừa đảo mạo danh công ty chữ ký điện tử nổi tiếng Docusign. Người dùng nhận được email có phong bì Docusign giả, yêu cầu họ xem lại tài liệu hoặc quét mã QR, dẫn họ đến trang đăng nhập Microsoft độc hại.