Sử dụng hình ảnh xác thực để ngăn chặn quá trình phân tích
Tin tặc ngày càng sử dụng các công cụ hợp pháp để có thể đánh lừa được người dùng và khiến cho chiến dịch tấn công trở nên khả thi hơn. Giờ đây, các tin tặc đã tiến thêm một bước nữa bằng cách sử dụng các giải pháp bảo mật thực tế trong các cuộc tấn công của mình.
Trong một chiến dịch gần đây, các nhà nghiên cứu cho biết các tin tặc đã sử dụng Cyber Panel để tạo hàng trăm tên miền khó hiểu hàng ngày bằng thuật toán tạo miền ngẫu nhiên (RDGA). Các miền này lưu trữ các trang thu thập thông tin xác thực. Vì các miền có tính ngẫu nhiên cao nên các nhà cung cấp dịch vụ lưu trữ gặp khó khăn trong việc xác định và vô hiệu hóa chúng.
Các cuộc tấn công sử dụng hình ảnh xác thực thông thường được những kẻ tấn công nhắm mục tiêu thông qua nền tảng và sử dụng email spam làm vectơ ban đầu. Tin tặc dụ người dùng đăng nhập vào những gì có vẻ là phần mềm hợp pháp. Ví dụ Hình 1 dưới đây thể hiện các hình thức thu thập thông tin xác thực được ẩn phía sau dịch vụ Captcha của CloudFlare.
Hình 1. Hình thức thu thập thông tin xác thực thông qua mã Captcha
Bằng cách đặt hình ảnh xác thực hợp pháp của CloudFlare trước nội dung độc hại, về cơ bản, những kẻ tấn công đang đặt lớp bảo mật này chống lại lớp bảo mật khác, đó là do các giải pháp bảo mật tự động, như trình thu thập thông tin web được thiết kế để phát hiện mối đe dọa, bị hình ảnh xác thực chặn lại. Do đó, nội dung sẽ tránh bị gắn cờ là độc hại và các email có liên kết đến trang này sẽ vượt qua các bộ lọc thư rác.
Những kẻ tấn công thêm địa chỉ email của nạn nhân dưới dạng tham số GET sau khi mục tiêu hoàn thành hình ảnh xác thực. Sau đó, chúng thực thi một tập lệnh để trích xuất tên miền của tổ chức mục tiêu, sử dụng dữ liệu này để hiển thị trang đăng nhập tùy chỉnh mạo danh cổng đăng nhập thực tế của nạn nhân.
Sau khi nạn nhân truy cập trang đăng nhập, phần còn lại của cuộc tấn công sẽ tuân theo mô hình thu thập thông tin xác thực tiêu chuẩn. Khi nạn nhân nhập thông tin đăng nhập của họ, thông báo lỗi xác thực “wrong credentials” sẽ hiển thị. Tiếp đó, những kẻ tấn công nhanh chóng chuyển hướng nạn nhân đến một trang web hợp pháp, đồng thời lấy thông tin đăng nhập đến máy chủ chỉ huy ra lệnh và kiểm soát (C2) của chúng.
Quishing - biến thể của lừa đảo sử dụng mã QR để tránh bị phát hiện
Quishing được bắt nguồn từ việc kết hợp và các chiến thuật lừa đảo tinh vi, là một chiến lược lừa đảo mới đã trở nên phổ biến kể từ giữa năm 2023.
Kỹ thuật này liên quan đến việc kẻ tấn công gửi mã QR chuyển hướng mục tiêu đến một trang web độc hại. Việc nhúng liên kết độc hại vào mã QR giúp kẻ tấn công vượt qua các bộ lọc thư rác vì mã QR thường được coi là an toàn và nhiều công cụ bảo mật thiếu khả năng phân tích nội dung của chúng.
Email thường là điểm lây nhiễm ban đầu trong các chiến dịch tấn công. Trong Hình 2, những kẻ tấn công kết hợp email hóa đơn thanh toán giả và kỹ thuật Quishing.
Hình 2. Kết hợp email hóa đơn thanh toán giả với kỹ thuật Quishing
Kết hợp các kỹ thuật lẩn tránh
Trong một chiến dịch khác mà các nhà nghiên cứu quan sát gần đây, các tác nhân đe dọa kết hợp các phương pháp lừa đảo phổ biến theo cách thông minh để vượt qua khả năng phát hiện của sandbox tự động.
Cuộc tấn công này bắt đầu bằng một email lừa đảo được ngụy trang dưới dạng thông báo của Tòa án tư pháp từ Cộng hòa Colombia. Đính kèm với email là nội dung có vẻ là nhưng thực tế là một hình ảnh được thiết kế để mạo danh một tệp, như trong ví dụ Hình 3.
Hình 3. Email đính kèm giả mạo
Khi được nhấp vào, hình ảnh sẽ chuyển hướng người dùng đến một tệp được lưu trữ trực tuyến, tệp này được mã hóa và bảo vệ bằng . Trong đó, mật khẩu được cung cấp trong phần nội dung của email (Hình 4).
Hình 4. Thông tin mật khẩu được cung cấp trong email giả mạo
Sử dụng hình ảnh làm tệp đính kèm giả mạo là một chiến thuật đã có từ giữa những năm 2010 và việc phân phối payload trong các kho lưu trữ được bảo vệ bằng mật khẩu thậm chí còn là một thủ thuật cũ hơn. Tuy nhiên, việc kết hợp chúng lại với nhau như thế này là một cách mạnh mẽ để tránh bị phân tích tự động.
Hồng Đạt
(Tổng hợp)
10:00 | 07/11/2023
10:00 | 26/10/2023
08:00 | 24/10/2024
15:00 | 13/04/2022
14:00 | 18/10/2024
Ngày 08/10, Cơ quan Giám sát truyền thông, Công nghệ thông tin và Truyền thông đại chúng Liên bang Nga (Roskomnadzor) thông báo đã chặn ứng dụng trò chuyện trực tuyến đa nền tảng Discord do vi phạm luật pháp Nga.
14:00 | 11/10/2024
Theo báo cáo từ Bloomberg và Reuters, Ukraine đã lên tiếng nhận trách nhiệm về vụ tấn công mạng nhắm vào Công ty truyền thông nhà nước Nga VGTRK và làm gián đoạn hoạt động của cơ quan này. Điều đáng chú ý, cuộc tấn công mạng diễn ra đúng vào ngày sinh nhật lần thứ 72 của Tổng thống Nga Vladimir Putin.
09:00 | 10/10/2024
Ngày 05/10, Lễ trao Giải thưởng Chuyển đổi số Việt Nam (Vietnam Digital Awards - VDA) năm 2024 đã tôn vinh 45 cơ quan, doanh nghiệp, đơn vị sự nghiệp và các sản phẩm, giải pháp chuyển đổi số xuất sắc.
13:00 | 07/10/2024
Với sự phát triển mạnh mẽ của ngành công nghiệp trò chơi điện tử (game online), việc các vật phẩm ảo có thể quy đổi thành giá trị tiền thật đã trở nên rất phổ biến. Điều này vô tình tạo cơ hội thuận lợi để kẻ tấn công thực hiện hành vi chiếm đoạt tài sản.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
10:00 | 25/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024
