Các chiến dịch smishing đang gia tăng mức độ tinh vi khi tội phạm mạng nhúng tên thương hiệu uy tín vào các URL lừa đảo và luồng tin nhắn nhóm, nhằm mục đích dụ dỗ người dùng không nghi ngờ tải xuống mã độc. Đây là một hình thức tấn công mạng ngày càng phổ biến, khai thác lòng tin của người dùng vào các thực thể đã được thiết lập.

Kỹ thuật Lừa đảo qua URL và Tin nhắn Nhóm

Kẻ tấn công tạo ra các URL thoạt nhìn có vẻ hợp pháp bằng cách đặt tên của một thương hiệu nổi tiếng ngay trước ký hiệu “@”, sau đó là một tên miền không liên kết. Chẳng hạn, một liên kết có thể xuất hiện dưới dạng [email protected], trong khi tên miền thực sự chứa mã độc có thể là soogb[.]xin. Kỹ thuật này đánh lừa người dùng tin rằng liên kết liên quan đến thương hiệu quen thuộc.

Chiến thuật Giả mạo Tên miền và Tuổi thọ Hostname

Trong thực tế, tên miền thực sự — ví dụ: soogb[.]xin — lại lưu trữ các payload độc hại. Nạn nhân nhấp vào các liên kết này sẽ bị chuyển hướng để tải xuống các ứng dụng bị trojan hóa hoặc trình cài đặt bí mật cài đặt backdoor và công cụ thu thập thông tin đăng nhập. Các chuyên gia an ninh mạng nhấn mạnh tầm quan trọng của việc nhận diện những dấu hiệu bất thường này.

Để tăng cường tính hợp pháp giả mạo, các đối tượng đe dọa đăng ký tên miền trước nhiều tháng, đôi khi từ sáu đến tám tháng trước khi sử dụng lần đầu. Những hostname “già dặn” này xuất hiện đáng tin cậy hơn đối với các bộ lọc thư rác và nền tảng bảo vệ điểm cuối. Bằng cách dàn dựng cơ sở hạ tầng từ trước, kẻ tấn công đảm bảo các tên miền đủ “trưởng thành” để tránh bị gỡ bỏ hoặc gắn cờ tự động khi chiến dịch được triển khai.

Tin nhắn Nhóm và Công nghệ RCS

Một số vụ lừa đảo tin nhắn nhóm gần đây đã sử dụng kỹ thuật gửi tin nhắn đồng thời tới nhiều người nhận dưới vỏ bọc một sự chậm trễ vận chuyển rộng rãi hoặc cập nhật dịch vụ khẩn cấp. Theo Unit 42 của Palo Alto Networks, người nhận thấy số điện thoại của mình và của những người khác được liệt kê trong luồng nhóm, tạo ra một cảm giác hợp pháp sai lầm.

Một luồng tin nhắn như vậy được cho là “FedEx® Ground Reschedule Your Shipment Delivery”, thúc giục người dùng nhấp vào một liên kết theo dõi để xác nhận ngày giao hàng được lên lịch lại. Thay vào đó, liên kết này đã kích hoạt việc tải xuống một trojan truy cập từ xa. Việc nhận diện những dấu hiệu của một cuộc tấn công mạng như vậy là rất quan trọng.

Ngoài ra, kẻ tấn công còn sử dụng các tính năng của giao thức RCS (Rich Communication Services) để tăng cường khả năng hiển thị tin nhắn trên các thiết bị Android, hiển thị logo công ty và giao diện người dùng được làm sạch, bắt chước các ứng dụng chính thức. ID người gửi SMS cũng bị giả mạo để phản ánh các số điện thoại doanh nghiệp chính hãng, làm giảm thêm sự nghi ngờ của người nhận.

Mã độc và Ảnh hưởng của cuộc tấn công mạng

Khi người dùng nhấp vào URL lừa đảo, họ được nhắc tải xuống một tệp Android APK hoặc trình cài đặt Windows, ngụy trang thành một ứng dụng xác nhận vận chuyển hoặc tiện ích hỗ trợ khách hàng. Phía sau, các trình cài đặt này triển khai keylogger và các công cụ truy cập từ xa như Orcus RAT và Cerberus Android malware. Các loại mã độc này có khả năng đánh cắp tin nhắn SMS, token xác thực và danh bạ.

Phân tích ban đầu cho thấy một số payload cũng bao gồm các mô-đun để chặn mã xác thực hai yếu tố (2FA) và lây lan qua danh bạ của nạn nhân thông qua lời mời tự động tham gia nhóm tin nhắn. Mức độ nguy hiểm của các loại mã độc này cho thấy một rủi ro bảo mật nghiêm trọng đối với người dùng cá nhân và tổ chức.

Các Chỉ báo Thỏa hiệp (IOCs)

Các tổ chức và cá nhân cần cảnh giác với các chỉ báo thỏa hiệp liên quan đến các liên kết được định dạng tinh vi và các mẫu tin nhắn nhóm. Dưới đây là một số IOC chính được xác định từ chiến dịch này:

• Tên miền độc hại:soogb[.]xin
• Tên mã độc được biết đến:Orcus RAT, Cerberus Android malware, các trojan truy cập từ xa (RAT), keylogger.

Việc giám sát và chặn kịp thời các IOC này là rất quan trọng để ngăn chặn sự lây lan của tấn công mạng.

Chiến lược Phòng thủ và Giảm thiểu Rủi ro

Để bảo vệ khỏi mối đe dọa đang phát triển này, các tổ chức và cá nhân nên thực hiện các biện pháp phòng ngừa chủ động. Việc tăng cường an ninh mạng đòi hỏi một cách tiếp cận đa tầng, kết hợp công nghệ và giáo dục người dùng.

Giải pháp Bảo mật Di động và Phân tích URL

• Áp dụng các giải pháp bảo mật di động thực hiện phân tích URL chuyên sâu, bao gồm phát hiện các kỹ thuật che giấu kiểu “@” trong liên kết.
• Triển khai các quy tắc lọc mạng để chặn quyền truy cập vào các tên miền mới tạo hoặc ít được sử dụng.

Giáo dục Người dùng và Bộ lọc Tin nhắn

• Đào tạo người dùng về các dấu hiệu tinh tế của URL độc hại, nhấn mạnh rằng các tin nhắn hợp pháp sẽ không bao giờ chuyển hướng qua các tên miền không thuộc thương hiệu.
• Chặn các hostname đáng ngờ ở cấp độ DNS và củng cố bộ lọc cổng SMS bằng các nguồn cấp dữ liệu threat intelligence có thể giảm đáng kể khả năng phơi nhiễm với tấn công mạng.

Hợp tác với các nhà mạng di động để xác thực ID người gửi và nhanh chóng gỡ bỏ cơ sở hạ tầng độc hại sẽ đóng vai trò then chốt trong việc ngăn chặn làn sóng tấn công mạng smishing lừa đảo này. Sự chủ động trong phòng ngừa là yếu tố quyết định để bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa ngày càng phức tạp.