Một tấn công phishing tinh vi đã lợi dụng tính năng chia sẻ tài liệu của Zoom để lừa nạn nhân vào một trang đăng nhập Gmail giả mạo. Chiến dịch này sử dụng kỹ thuật lừa đảo xã hội (social engineering) và cơ sở hạ tầng độc hại để đánh cắp thông tin đăng nhập người dùng theo thời gian thực thông qua kết nối WebSocket.

Tổng quan về Chiến dịch Tấn công Phishing qua Zoom

Kỹ thuật Lừa đảo Xã hội (Social Engineering)

Trong một sự cố gần đây, một email có tiêu đề “HR application” được gửi từ địa chỉ Zoom Docs hợp lệ. Các kiểm tra SPF, DKIM và DMARC đều được xác nhận, tạo ra cảm giác an toàn giả mạo cho người nhận.

Những người tìm việc và nhân viên thường tin tưởng vào các thông báo chia sẻ tài liệu từ Zoom, điều này đã bị lợi dụng để tăng tỷ lệ nhấp chuột và tránh sự nghi ngờ ban đầu.

Liên kết Độc hại và Chuyển hướng Ban đầu

Liên kết trong email trông giống một URL tài liệu Zoom tiêu chuẩn, nhưng thực chất lại dẫn đến báo cáo chi tiết tại hxxps://overflow.qyrix[.]com.de/GAR@bBWe/. Đây là một máy chủ lưu trữ tiện ích bảo vệ bot yêu cầu “Press & Hold to confirm”.

Sau khi vượt qua cổng bảo vệ bot giả mạo này, người dùng được chuyển hướng đến hxxps://overflow.qyrix[.]com.de/aoi99lxz7s0?id=02efd7fc7…, nơi một bản sao giao diện người dùng đăng nhập Gmail chờ đợi thông tin đăng nhập.

Cơ chế Đánh cắp Thông tin Đăng nhập Thời gian Thực

Trang Đăng nhập Giả mạo và Kỹ thuật WebSockets

Trang tấn công phishing không chỉ mô phỏng giao diện của Gmail mà còn sử dụng kết nối WebSocket để đánh cắp dữ liệu theo thời gian thực. Khi thông tin đăng nhập được nhập, một kênh trực tiếp được thiết lập đến máy chủ C2 (Command and Control) của kẻ tấn công.

Các khung WebSocket bị bắt giữ đã xác nhận việc đánh cắp ngay lập tức tên người dùng và mật khẩu. Ở phía backend, thông tin đăng nhập được xác thực với API xác thực của Google, điều này giải thích độ trễ nhỏ so với các trang phishing tĩnh.

Quy trình Xác thực Hai Giai đoạn

Quy trình xác thực hai giai đoạn này cho phép kẻ tấn công phân loại các lần đăng nhập hợp lệ và không thành công ngay lập tức. Điều này giúp đẩy nhanh quá trình khai thác tiếp theo hoặc chiếm quyền điều khiển tài khoản sau khi thực hiện tấn công phishing.

Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp cần chú ý để phát hiện và ngăn chặn tấn công phishing này:

• Malicious Domain:overflow.qyrix.com.de

Biện pháp Phòng ngừa và Ứng phó với Tấn công Phishing

Kiểm tra Liên kết và Dấu hiệu Bất thường

Bất kỳ liên kết chia sẻ tài liệu Zoom nào trỏ đến một tên miền không phải zoom.us đều phải được coi là đáng ngờ. Sự hiện diện của xác minh “Press & Hold” hoặc bất kỳ câu đố nào trước khi đăng nhập là bất thường đối với quy trình xác thực của Google.

Người dùng nên kiểm tra kỹ tiêu đề email đầy đủ, xác minh rằng tên miền của người gửi khớp với tên miền của liên kết để tránh các chiến dịch lừa đảo qua Zoom.

Giám sát và Phát hiện trên Mạng

Các nhà phân tích SOC nên theo dõi các kết nối WebSocket (ws:// hoặc wss://) đi ra ngoài bất thường từ trình duyệt. Trong các cổng email, kiểm tra viết lại URL và uy tín tên miền có thể gắn cờ overflow.qyrix.com.de là độc hại, hỗ trợ phát hiện tấn công sớm.

Phản ứng Sau Xâm nhập

Nếu thông tin đăng nhập đã bị gửi, việc đặt lại mật khẩu ngay lập tức thông qua trang Google chính thức là bắt buộc, sau đó là kích hoạt xác thực hai yếu tố (2FA).

Các đội ngũ bảo mật có thể chặn tên miền độc hại ở cấp độ DNS hoặc proxy. Báo cáo lên cổng lạm dụng của Zoom và biểu mẫu báo cáo phishing của Google kèm theo ảnh chụp màn hình và tiêu đề sẽ hỗ trợ nỗ lực gỡ bỏ.

Khuyến khích sử dụng trình quản lý mật khẩu sẽ thêm một lớp phòng thủ khác, vì chúng sẽ từ chối tự động điền thông tin đăng nhập trên các trang không thuộc tên miền chính thức, giúp ngăn chặn đánh cắp dữ liệu.