Nhà nghiên cứu Jacob Malimban tới từ hãng bảo mật Cofense (Mỹ) cho biết: “Trong chiến dịch này, những kẻ tấn công đã sử dụng các kho lưu trữ đáng tin cậy để phát tán phần mềm độc hại, đây là phương pháp tương đối mới so với việc các tác nhân đe dọa tạo ra các kho lưu trữ GitHub độc hại của riêng họ”.
Trọng tâm của chuỗi tấn công là việc lạm dụng cơ sở hạ tầng GitHub để phân phối các payload độc hại. Một biến thể của kỹ thuật này, lần đầu tiên được các nhà nghiên cứu OALABS Research tiết lộ vào tháng 3/2024, trong đó các tin tặc đã mở một issue GitHub (một tính năng cho phép người dùng báo cáo sự cố, đề xuất các tính năng mới hoặc thảo luận về bất kỳ chủ đề nào liên quan đến dự án phần mềm) trên các kho lưu trữ nổi tiếng và tải lên đó một payload độc hại, sau đó đóng issue mà không lưu lại.
Khi thực hiện như vậy, các nhà nghiên cứu phát hiện ra rằng phần mềm độc hại được tải lên vẫn tồn tại ngay cả khi issue không bao giờ được lưu, một phương thức dễ bị lợi dụng vì nó cho phép kẻ tấn công tải lên bất kỳ tệp nào chúng chọn và không để lại bất kỳ dấu vết nào ngoại trừ liên kết đến chính tệp đó.
Phương pháp này đã được sử dụng để đánh lừa người dùng tải xuống trình tải phần mềm độc hại Lua có khả năng duy trì lâu dài trên các hệ thống bị lây nhiễm và phân phối thêm các phần mềm độc hại khác.
Chiến dịch lừa đảo được Cofense phát hiện sử dụng một chiến thuật tương tự, điểm khác biệt duy nhất là nó sử dụng các bình luận (comment) GitHub để đính kèm một tệp (tức là phần mềm độc hại), sau đó bình luận này sẽ bị xóa. Giống như trong trường hợp đã đề cập ở trên, liên kết vẫn hoạt động và được phát tán qua email lừa đảo.
Phân phối phần mềm độc hại qua email lừa đảo
“Email có liên kết đến GitHub có hiệu quả trong việc vượt qua giải pháp bảo vệ email Secure Email Gateway (SEG) vì GitHub thường là một tên miền đáng tin cậy. Liên kết GitHub cho phép kẻ tấn công liên kết trực tiếp đến kho lưu trữ phần mềm độc hại trong email mà không cần phải sử dụng Google chuyển hướng, mã QR hoặc các kỹ thuật vượt qua SEG khác”, Malimban cho biết.
Sự phát triển này diễn ra khi hãng bảo mật Barracuda Networks (Mỹ) tiết lộ những phương pháp mới được những kẻ tấn công áp dụng, bao gồm mã QR dựa trên ASCII và Unicode cũng như URL blob như một cách để khiến việc chặn nội dung độc hại và phát hiện trở nên khó khăn hơn.
Nhà nghiên cứu bảo mật Ashitosh Deshnur cho biết: “URI blob được trình duyệt sử dụng để biểu diễn dữ liệu nhị phân hoặc các đối tượng giống tệp (gọi là blob) được lưu trữ tạm thời trong bộ nhớ của trình duyệt. URI blob cho phép các nhà phát triển web làm việc với dữ liệu nhị phân như hình ảnh, video hoặc tệp trực tiếp trong trình duyệt mà không cần phải gửi hoặc truy xuất dữ liệu đó từ máy chủ bên ngoài”.
Bên cạnh đó, nghiên cứu mới đây từ công ty an ninh mạng ESET (Slovakia) cho thấy những kẻ tấn công phát triển bộ công cụ Telekopye Telegram đã mở rộng mục tiêu để nhắm vào các nền tảng đặt phòng trực tuyến như Booking[.]com và Airbnb, với sự gia tăng mạnh các hoạt động được phát hiện vào tháng 7/2024.
Các cuộc tấn công này đặc trưng bởi việc sử dụng tài khoản bị xâm phạm của các khách sạn để liên hệ với các mục tiêu tiềm năng, nêu ra các vấn đề liên quan đến thanh toán đặt phòng và đánh lừa nạn nhân nhấp vào liên kết giả mạo, yêu cầu họ nhập thông tin tài chính của mình.
“Bằng cách sử dụng quyền truy cập vào các tài khoản này, những kẻ tấn công sẽ chọn ra những người dùng vừa mới đặt phòng và chưa thanh toán hoặc thanh toán rất gần đây và liên hệ với họ qua tính năng trò chuyện trên nền tảng”, các nhà nghiên cứu bảo mật Jakub Souček và Radek Jizba cho biết.
Điều này khiến các vụ việc lừa đảo khó phát hiện hơn nhiều, vì thông tin được cung cấp có liên quan trực tiếp đến nạn nhân, được gửi qua nhiều kênh và các trang web giả mạo được liên kết trông giống như thông tin dự kiến.
Vào tháng 12/2023, các quan chức thực thi pháp luật Cộng hòa Séc và Ukraine đã thông báo bắt giữ một số tội phạm mạng bị cáo buộc đã sử dụng bot Telegram độc hại. “Các lập trình viên đã tạo ra, cập nhật, bảo trì và cải thiện chức năng của bot Telegram và các công cụ lừa đảo, cũng như đảm bảo tính ẩn danh của đồng phạm trên Internet và chia sẻ về việc che giấu hoạt động tội phạm”, Cảnh sát Cộng hòa Séc cho biết trong một tuyên bố vào thời điểm đó.
Vũ Mạnh Hà
(The Hacker News)
08:00 | 24/10/2024
14:00 | 06/08/2024
14:00 | 31/07/2024
08:00 | 22/07/2024
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
09:00 | 17/09/2024
Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
14:00 | 29/07/2024
Công ty cung cấp dịch vụ Communication APIs Twilio (Mỹ) đã xác nhận rằng một API không bảo mật đã cho phép các tác nhân đe dọa xác minh số điện thoại của hàng triệu người dùng xác thực đa yếu tố Authy, khiến họ có khả năng bị tấn công lừa đảo qua tin nhắn SMS và tấn công hoán đổi SIM.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
