Tên miền ZIP bị lạm dụng
Đầu tháng 5/2023, đã bắt đầu cung cấp tính năng đăng ký các tên miền TLD (Top Level Domain - Tên miền cấp cao nhất) mới, trong đó có ZIP và MOV, chẳng hạn như test.zip, để lưu trữ các trang web hoặc địa chỉ email. Kể từ khi các tên miền TLD này được công bố, đã có khá nhiều quan điểm tranh luận về việc liệu chúng có an toàn và có thể gây rủi ro an ninh mạng cho người dùng hay không. Điều này là do ZIP và MOV đều là các tên mở rộng tệp hợp pháp, có khả năng khiến người dùng cả tin nhầm lẫn khi truy cập trang web độc hại thay vì mở tệp và vô tình tải xuống .
Mặc dù một số chuyên gia bảo mật tin rằng các vấn đề đã bị thổi phồng lên, thế nhưng mối lo ngại chính là một số trang web sẽ tự động chuyển một chuỗi kết thúc bằng “.zip”, chẳng hạn như setup.zip, thành một liên kết có thể chọn được và có khả năng được sử dụng để phân phối phần mềm độc hại hoặc tấn công .
Các nhà nghiên cứu tại hãng bảo mật Trend Micro cho biết: “Các tệp ZIP thường được sử dụng như một phần trong giai đoạn đầu của chuỗi tấn công, có thể được tải xuống sau khi người dùng truy cập vào một URL độc hại hoặc mở tệp đính kèm email. Ngoài các tệp lưu trữ ZIP được sử dụng làm payload, cũng có khả năng tin tặc sẽ sử dụng các URL liên quan đến ZIP để tải xuống phần mềm độc hại".
Các tin tặc có thể tạo một trang web lừa đảo trông giống như thật bằng cách sử dụng HTML và CSS “bắt chước” phần mềm lưu trữ tệp hợp pháp và lưu trữ trang đó với tên miền ZIP, từ đó nâng cao các chiến dịch .
Ví dụ: nếu bạn gửi cho một người dùng nào đó và hướng dẫn tải xuống tệp có tên setup.zip, Twitter sẽ tự động chuyển setup.zip thành một liên kết, khiến người dùng nghĩ rằng họ nên nhấp vào liên kết để tải xuống tệp. Khi nhấp vào liên kết đó, trình duyệt của bạn sẽ mở đường dẫn //setup.zip, trang này có thể chuyển hướng đến một trang khác, hiển thị HTML hoặc nhắc nhở tải xuống một tệp.
Tuy nhiên, giống như tất cả các chiến dịch lừa đảo hoặc phân phối phần mềm độc hại trước đó, điều tiên quyết là trước tiên bạn phải thuyết phục người dùng mở tệp.
Mô phỏng phần mềm lưu trữ tệp
Nhà nghiên cứu bảo mật có biệt danh “mr.d0x” đã phát triển một bộ công cụ lừa đảo thông minh cho phép người sử dụng tạo các phiên bản WinRar giả mạo trong trình duyệt và Windows File Explorer được hiển thị trên các tên miền ZIP để đánh lừa người dùng nghĩ rằng họ đang mở tệp ZIP.
"Với bộ tấn công này, bạn mô phỏng một phần mềm lưu trữ tệp (ví dụ như WinRAR) trong trình duyệt và sử dụng tên miền ZIP để làm cho nó có vẻ hợp pháp hơn", mr.d0x cho biết. Bộ công cụ lừa đảo có thể được sử dụng để nhúng trực tiếp cửa sổ WinRar giả vào trình duyệt khi tên miền ZIP được mở, khiến nó giống như người dùng đã mở một kho lưu trữ tệp ZIP và hiện đang xem các tệp trong đó.
Mô phỏng WinRar trong trình duyệt
Để làm cho cửa sổ WinRar giả mạo này trở nên thuyết phục hơn, các nhà nghiên cứu đã triển khai một nút “Scan” giả, nút này khi được kích chọn sẽ cho biết rằng các tệp đã được quét và không phát hiện thấy mối đe dọa nào.
Trình quét tệp giả
Mặc dù bộ công cụ vẫn hiển thị thanh địa chỉ của trình duyệt, nhưng nó vẫn có khả năng đánh lừa một số người dùng nghĩ rằng đây là một kho lưu trữ WinRar hợp pháp. Hơn nữa, CSS và HTML có thể được sử dụng để tinh chỉnh thêm bộ công cụ.
Lạm dụng bộ công cụ lừa đảo
Mr.d0x giải thích rằng bộ công cụ lừa đảo này có thể được sử dụng cho cả hành vi xác thực và phân phối phần mềm độc hại. Ví dụ, nếu người dùng nhấp đúp vào tệp PDF trong cửa sổ WinRar giả, nó có thể chuyển hướng người dùng đến một trang khác yêu cầu thông tin đăng nhập của họ để xem tệp đúng cách.
Bộ công cụ cũng có thể được sử dụng để phân phối phần mềm độc hại bằng cách hiển thị tệp PDF và tải xuống tệp .exe có tên tương tự. Ví dụ: cửa sổ lưu trữ giả mạo có thể hiển thị tệp document.pdf nhưng khi được nhấp vào, trình duyệt sẽ tải xuống document.pdf.exe.
Vì Windows không hiển thị phần mở rộng tệp theo mặc định, người dùng sẽ chỉ nhìn thấy tệp PDF trong thư mục tải xuống của họ và có khả năng nhấp đúp vào tệp đó mà không nhận ra đó là tệp thực thi. Mối quan tâm đặc biệt là cách Windows tìm kiếm các tệp và khi không tìm thấy, sẽ cố gắng mở chuỗi đã tìm kiếm trong trình duyệt. Nếu chuỗi đó là một miền hợp lệ, thì trang web sẽ được mở, nếu không, nó sẽ hiển thị kết quả thông qua trang tìm kiếm Bing.
Nếu người dùng đăng ký miền ZIP giống với tên tệp phổ biến và ai đó thực hiện tìm kiếm trong Windows, hệ điều hành sẽ tự động mở trang web trong trình duyệt. Nếu trang web đó lưu trữ bộ công cụ lừa đảo “File Archiver In The Browser”, nó có thể đánh lừa người dùng nghĩ rằng WinRar đã hiển thị một kho lưu trữ ZIP thực sự. Kỹ thuật này minh họa cách tên miền ZIP có thể bị lạm dụng để tạo ra các cuộc tấn công lừa đảo thông minh và phân phối phần mềm độc hại hoặc đánh cắp thông tin xác thực.
Gia tăng các cuộc tấn công lừa đảo
Các cuộc tấn công lừa đảo đang ngày càng trở nên tinh vi hơn, với việc các tin tặc ngày càng tập trung vào việc đóng gói các bộ công cụ có khả năng tránh bị phát hiện, chẳng hạn như sử dụng các phần mềm chống virus và các thư mục động.
Theo thống kê của công ty an ninh mạng Group-IB (Singapore), trong năm 2022 đã tăng 25% số vụ việc sử dụng các bộ công cụ lừa đảo, xác định được 3.677 bộ công cụ duy nhất so với năm 2021. Đáng quan tâm đặc biệt là xu hướng sử dụng Telegram để thu thập dữ liệu bị đánh cắp đang gia tăng, với tỉ lệ tăng gần gấp đôi từ 5,6% vào năm 2021 lên 9,4% vào năm 2022.
Ngọc Ngân
10:00 | 16/05/2023
14:00 | 11/10/2023
14:00 | 22/06/2023
08:00 | 19/01/2024
13:00 | 04/08/2023
08:00 | 10/02/2024
17:00 | 05/05/2023
14:00 | 23/06/2023
16:00 | 05/04/2023
14:00 | 10/05/2024
Ngày nay, trong bối cảnh thế giới an toàn, an ninh mạng đang được định hình rõ ràng hơn, việc gắn kết và chia sẻ thông tin về các sự kiện bảo mật, nền tảng, công nghệ, giải pháp mới hay chương trình đào tạo rất quan trọng. Nhận thức được điều này, nhiều hội nghị, hội thảo và triển lãm về lĩnh vực bảo mật và an toàn thông tin đã được tổ chức trên toàn cầu, hướng tới nhiều đối tượng khác nhau như các chuyên gia bảo mật, sinh viên, nhà nghiên cứu, các lãnh đạo, nhà quản lý,… Tạp chí An toàn thông tin sẽ gửi tới quý độc giả thông tin tổng hợp về 10 hội nghị và sự kiện bảo mật tiêu biểu trong năm 2024.
15:00 | 19/04/2024
Trong kỷ nguyên số, các doanh nghiệp đang đối mặt với các thách thức lớn về rủi ro mất an toàn thông tin. Vì vậy việc bảo đảm an toàn thông tin, dữ liệu cho doanh nghiệp, tổ chức và xác định, đánh giá, kiểm soát các rủi ro liên quan để bảo vệ thông tin một cách hiệu quả là chủ đề được các chuyên gia, doanh nghiệp chia sẻ tại Hội thảo: “ISO/IEC 27001 - An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số” diễn ra vào ngày 16/4 tại TP. Hồ Chí Minh vừa qua.
13:00 | 15/04/2024
Hội thảo quốc tế IEEE lần thứ nhất về mật mã và an toàn thông tin (VCRIS 2024) dự kiến sẽ được tổ chức trong 02 ngày 03-04/12/2024 tại Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ. Hội thảo nhằm mục đích tạo lập và phát triển môi trường trao đổi học thuật, thúc đẩy các hoạt động nghiên cứu khoa học cơ bản, khoa học ứng dụng về mật mã và an toàn thông tin tại Việt Nam và thế giới.
14:00 | 19/02/2024
Một chiến dịch quảng cáo độc hại đang diễn ra nhắm mục tiêu vào người dùng nói tiếng Trung Quốc bằng cách lợi dụng các nền tảng nhắn tin phổ biến như Telegram hoặc LINE, với mục đích phát tán phần mềm độc hại. Điều thú vị là ứng dụng Telegram bị hạn chế rất nhiều và trước đó đã bị cấm ở Trung Quốc.
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 7/5, ByteDance kiện lên Tòa án liên bang Hoa Kỳ nhằm tìm cách ngăn chặn một đạo luật do Tổng thống Joe Biden ký nhằm buộc ByteDance phải thoái vốn khỏi ứng dụng video ngắn TikTok nếu không sẽ bị cấm tại Mỹ.
09:00 | 15/05/2024