Tên miền ZIP bị lạm dụng
Đầu tháng 5/2023, đã bắt đầu cung cấp tính năng đăng ký các tên miền TLD (Top Level Domain - Tên miền cấp cao nhất) mới, trong đó có ZIP và MOV, chẳng hạn như test.zip, để lưu trữ các trang web hoặc địa chỉ email. Kể từ khi các tên miền TLD này được công bố, đã có khá nhiều quan điểm tranh luận về việc liệu chúng có an toàn và có thể gây rủi ro an ninh mạng cho người dùng hay không. Điều này là do ZIP và MOV đều là các tên mở rộng tệp hợp pháp, có khả năng khiến người dùng cả tin nhầm lẫn khi truy cập trang web độc hại thay vì mở tệp và vô tình tải xuống .
Mặc dù một số chuyên gia bảo mật tin rằng các vấn đề đã bị thổi phồng lên, thế nhưng mối lo ngại chính là một số trang web sẽ tự động chuyển một chuỗi kết thúc bằng “.zip”, chẳng hạn như setup.zip, thành một liên kết có thể chọn được và có khả năng được sử dụng để phân phối phần mềm độc hại hoặc tấn công .
Các nhà nghiên cứu tại hãng bảo mật Trend Micro cho biết: “Các tệp ZIP thường được sử dụng như một phần trong giai đoạn đầu của chuỗi tấn công, có thể được tải xuống sau khi người dùng truy cập vào một URL độc hại hoặc mở tệp đính kèm email. Ngoài các tệp lưu trữ ZIP được sử dụng làm payload, cũng có khả năng tin tặc sẽ sử dụng các URL liên quan đến ZIP để tải xuống phần mềm độc hại".
Các tin tặc có thể tạo một trang web lừa đảo trông giống như thật bằng cách sử dụng HTML và CSS “bắt chước” phần mềm lưu trữ tệp hợp pháp và lưu trữ trang đó với tên miền ZIP, từ đó nâng cao các chiến dịch .
Ví dụ: nếu bạn gửi cho một người dùng nào đó và hướng dẫn tải xuống tệp có tên setup.zip, Twitter sẽ tự động chuyển setup.zip thành một liên kết, khiến người dùng nghĩ rằng họ nên nhấp vào liên kết để tải xuống tệp. Khi nhấp vào liên kết đó, trình duyệt của bạn sẽ mở đường dẫn //setup.zip, trang này có thể chuyển hướng đến một trang khác, hiển thị HTML hoặc nhắc nhở tải xuống một tệp.
Tuy nhiên, giống như tất cả các chiến dịch lừa đảo hoặc phân phối phần mềm độc hại trước đó, điều tiên quyết là trước tiên bạn phải thuyết phục người dùng mở tệp.
Mô phỏng phần mềm lưu trữ tệp
Nhà nghiên cứu bảo mật có biệt danh “mr.d0x” đã phát triển một bộ công cụ lừa đảo thông minh cho phép người sử dụng tạo các phiên bản WinRar giả mạo trong trình duyệt và Windows File Explorer được hiển thị trên các tên miền ZIP để đánh lừa người dùng nghĩ rằng họ đang mở tệp ZIP.
"Với bộ tấn công này, bạn mô phỏng một phần mềm lưu trữ tệp (ví dụ như WinRAR) trong trình duyệt và sử dụng tên miền ZIP để làm cho nó có vẻ hợp pháp hơn", mr.d0x cho biết. Bộ công cụ lừa đảo có thể được sử dụng để nhúng trực tiếp cửa sổ WinRar giả vào trình duyệt khi tên miền ZIP được mở, khiến nó giống như người dùng đã mở một kho lưu trữ tệp ZIP và hiện đang xem các tệp trong đó.
.jpg)
Mô phỏng WinRar trong trình duyệt
Để làm cho cửa sổ WinRar giả mạo này trở nên thuyết phục hơn, các nhà nghiên cứu đã triển khai một nút “Scan” giả, nút này khi được kích chọn sẽ cho biết rằng các tệp đã được quét và không phát hiện thấy mối đe dọa nào.
.jpg)
Trình quét tệp giả
Mặc dù bộ công cụ vẫn hiển thị thanh địa chỉ của trình duyệt, nhưng nó vẫn có khả năng đánh lừa một số người dùng nghĩ rằng đây là một kho lưu trữ WinRar hợp pháp. Hơn nữa, CSS và HTML có thể được sử dụng để tinh chỉnh thêm bộ công cụ.
Lạm dụng bộ công cụ lừa đảo
Mr.d0x giải thích rằng bộ công cụ lừa đảo này có thể được sử dụng cho cả hành vi xác thực và phân phối phần mềm độc hại. Ví dụ, nếu người dùng nhấp đúp vào tệp PDF trong cửa sổ WinRar giả, nó có thể chuyển hướng người dùng đến một trang khác yêu cầu thông tin đăng nhập của họ để xem tệp đúng cách.
Bộ công cụ cũng có thể được sử dụng để phân phối phần mềm độc hại bằng cách hiển thị tệp PDF và tải xuống tệp .exe có tên tương tự. Ví dụ: cửa sổ lưu trữ giả mạo có thể hiển thị tệp document.pdf nhưng khi được nhấp vào, trình duyệt sẽ tải xuống document.pdf.exe.
Vì Windows không hiển thị phần mở rộng tệp theo mặc định, người dùng sẽ chỉ nhìn thấy tệp PDF trong thư mục tải xuống của họ và có khả năng nhấp đúp vào tệp đó mà không nhận ra đó là tệp thực thi. Mối quan tâm đặc biệt là cách Windows tìm kiếm các tệp và khi không tìm thấy, sẽ cố gắng mở chuỗi đã tìm kiếm trong trình duyệt. Nếu chuỗi đó là một miền hợp lệ, thì trang web sẽ được mở, nếu không, nó sẽ hiển thị kết quả thông qua trang tìm kiếm Bing.
Nếu người dùng đăng ký miền ZIP giống với tên tệp phổ biến và ai đó thực hiện tìm kiếm trong Windows, hệ điều hành sẽ tự động mở trang web trong trình duyệt. Nếu trang web đó lưu trữ bộ công cụ lừa đảo “File Archiver In The Browser”, nó có thể đánh lừa người dùng nghĩ rằng WinRar đã hiển thị một kho lưu trữ ZIP thực sự. Kỹ thuật này minh họa cách tên miền ZIP có thể bị lạm dụng để tạo ra các cuộc tấn công lừa đảo thông minh và phân phối phần mềm độc hại hoặc đánh cắp thông tin xác thực.
Gia tăng các cuộc tấn công lừa đảo
Các cuộc tấn công lừa đảo đang ngày càng trở nên tinh vi hơn, với việc các tin tặc ngày càng tập trung vào việc đóng gói các bộ công cụ có khả năng tránh bị phát hiện, chẳng hạn như sử dụng các phần mềm chống virus và các thư mục động.
Theo thống kê của công ty an ninh mạng Group-IB (Singapore), trong năm 2022 đã tăng 25% số vụ việc sử dụng các bộ công cụ lừa đảo, xác định được 3.677 bộ công cụ duy nhất so với năm 2021. Đáng quan tâm đặc biệt là xu hướng sử dụng Telegram để thu thập dữ liệu bị đánh cắp đang gia tăng, với tỉ lệ tăng gần gấp đôi từ 5,6% vào năm 2021 lên 9,4% vào năm 2022.
Ngọc Ngân
10:00 | 16/05/2023
14:00 | 11/10/2023
14:00 | 22/06/2023
08:00 | 19/01/2024
13:00 | 04/08/2023
08:00 | 10/02/2024
17:00 | 05/05/2023
14:00 | 23/06/2023
16:00 | 05/04/2023
07:00 | 27/09/2024
Trung tâm điều phối an ninh mạng quốc gia Ukraine (NCCC) đã hạn chế việc sử dụng ứng dụng nhắn tin Telegram trong các cơ quan chính phủ, đơn vị quân đội và cơ sở hạ tầng quan trọng, với lý do lo ngại về an ninh quốc gia.
08:00 | 24/09/2024
Sau đây là một số dấu mốc quan trọng tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 24 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
07:00 | 09/09/2024
Từ những ngày đầu thành lập, tổ chức cơ yếu đã trải qua nhiều thăng trầm, thay đổi để thích ứng với tình hình mới. Cơ cấu tổ chức hệ thống cơ yếu như một cỗ máy tinh vi, không ngừng được hoàn thiện để đáp ứng yêu cầu ngày càng cao của công tác bảo vệ an ninh quốc gia. Trong lịch sử 79 năm, các dấu mốc quan trọng tiêu biểu của ngành Cơ yếu Việt Nam về ngày 09 tháng 9 đều liên quan đến việc ban hành các quyết định về cơ cấu tổ chức.
08:00 | 01/09/2024
Uy lực của súng đạn, sự hy sinh của những người lính, tất cả đều đã trở thành một phần không thể thiếu trong lịch sử hào hùng của dân tộc ta. Nhưng ít ai biết rằng, đằng sau những chiến thắng vang dội ấy, còn có một cuộc chiến thầm lặng nhưng không kém phần quyết liệt, là cuộc chiến trên mặt trận mật mã. Bản tin podcast ngày hôm nay, xin mời quý vị và các bạn cùng quay trở lại Chiến dịch Biên giới Thu - Đông năm 1950 trên mặt trận mật mã.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
10:00 | 25/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024
